Shadow blocking : Vinted épinglé par la CNIL lituanienne

Shadow blocking : Vinted épinglé par la CNIL lituanienne
⏱ Lecture 2 min

Par Haas Avocats

Vinted, la célèbre plateforme en ligne de vente et d’échange de vêtements d’occasion, a été sanctionnée par l’autorité lituanienne de protection des données, le 2 juillet 2024.

La société lituanienne a écopé d’une amende de 2,3 millions d’euros pour non-conformité au Règlement général sur la protection des données (RGPD).

Les faits reprochés à Vinted

L’autorité lituanienne de protection des données, la State Data Protection Inspectorate (SDPI), a initié cette enquête suite à de nombreuses plaintes déposées par des utilisateurs de Vinted, transmises par les autorités de contrôle françaises et polonaises. Ces derniers ont exprimé des inquiétudes concernant la collecte, le stockage et l’utilisation de leurs données à caractère personnel par la plateforme.

L'enquête a mis en lumière plusieurs manquements significatifs de Vinted en matière de protection des données personnelles de ses utilisateurs.

La pratique illégale du « shadow blocking » (ou « bannissement furtif »)

Vinted a mis en œuvre une pratique connue sous le nom de le « shadow blocking », où les utilisateurs considérés comme malveillants étaient invisibilisés sur la plateforme sans notification claire ni possibilité de recours immédiat. Cette méthode, bien que visant à protéger la communauté, a été jugée excessive et susceptible de porter atteinte aux droits des utilisateurs, notamment en limitant leur accès à l'assistance clientèle et en entravant l'exercice de leurs droits légaux.

Violation du droit à l’effacement des données

Lors de l'examen des plaintes, il a été constaté que l'entreprise avait refusé de répondre favorablement à une demande de suppression de données. La société a justifié son refus en indiquant que le requérant n'avait pas précisé les « motifs spécifiques » de sa demande, selon l'article 17 du RGPD. Par ailleurs, l'entreprise n'a pas expliqué de manière exhaustive les raisons de son refus, notamment les finalités pour lesquelles les données du requérant continueraient à être traitées après la demande.

Gestion inadequate des demandes de droit d'accès

En outre, l’entreprise n’a pas pris de mesures techniques et organisationnelles suffisantes pour garantir la mise en œuvre du principe de responsabilité et pour pouvoir démontrer qu’elle avait correctement traité les demandes de droit d'accès des utilisateurs.

Vinted écope d’une amende pour violations du RGPD

L’amende de 2,3 millions d’euros a été infligée à la suite du constat de violation de :

  • L’article 5, paragraphe 1, point a), du RGPD : principes de licéité, équité et transparence
  • L'article 5, paragraphe 2, du RGPD : principe de responsabilité
  • L'article 12, paragraphe 1 et paragraphe 4 du RGPD : transparence de l'information, de la communication et des conditions d'exercice des droits de la personne concernée.

Cette sanction n’est pas seulement financière. Vinted devra également mettre en place des mesures correctives pour se conformer pleinement au RGPD. Cela inclut une révision de ses politiques de confidentialité, la limitation de la conservation des données et la modification de ses procédures de vérification d’identité.

Cette décision de la CNIL représente un avertissement clair aux plateformes numériques quant à l'importance cruciale de respecter les droits fondamentaux des utilisateurs en matière de protection des données. Elle souligne également la nécessité pour les entreprises de technologie de mettre en place des pratiques rigoureuses de gestion des données personnelles pour éviter des amendes sévères et préserver leur réputation sur le marché européen.

***

Si vous souhaitez bénéficier d’un accompagnement personnalisé : le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

 

[1] Communiqué de l’autorité lituanienne : https://vdai.lrv.lt/en/news/a-company-operating-an-online-second-hand-clothing-trading-and-exchange-platform-is-fined-under-the-general-data-protection-regulation/

Haas Avocats

Auteur Haas Avocats

Suivez-nous sur Linkedin