Par Haas Avocats
Vinted, la célèbre plateforme en ligne de vente et d’échange de vêtements d’occasion, a été sanctionnée par l’autorité lituanienne de protection des données, le 2 juillet 2024.
La société lituanienne a écopé d’une amende de 2,3 millions d’euros pour non-conformité au Règlement général sur la protection des données (RGPD).
L’autorité lituanienne de protection des données, la State Data Protection Inspectorate (SDPI), a initié cette enquête suite à de nombreuses plaintes déposées par des utilisateurs de Vinted, transmises par les autorités de contrôle françaises et polonaises. Ces derniers ont exprimé des inquiétudes concernant la collecte, le stockage et l’utilisation de leurs données à caractère personnel par la plateforme.
L'enquête a mis en lumière plusieurs manquements significatifs de Vinted en matière de protection des données personnelles de ses utilisateurs.
Vinted a mis en œuvre une pratique connue sous le nom de le « shadow blocking », où les utilisateurs considérés comme malveillants étaient invisibilisés sur la plateforme sans notification claire ni possibilité de recours immédiat. Cette méthode, bien que visant à protéger la communauté, a été jugée excessive et susceptible de porter atteinte aux droits des utilisateurs, notamment en limitant leur accès à l'assistance clientèle et en entravant l'exercice de leurs droits légaux.
Lors de l'examen des plaintes, il a été constaté que l'entreprise avait refusé de répondre favorablement à une demande de suppression de données. La société a justifié son refus en indiquant que le requérant n'avait pas précisé les « motifs spécifiques » de sa demande, selon l'article 17 du RGPD. Par ailleurs, l'entreprise n'a pas expliqué de manière exhaustive les raisons de son refus, notamment les finalités pour lesquelles les données du requérant continueraient à être traitées après la demande.
En outre, l’entreprise n’a pas pris de mesures techniques et organisationnelles suffisantes pour garantir la mise en œuvre du principe de responsabilité et pour pouvoir démontrer qu’elle avait correctement traité les demandes de droit d'accès des utilisateurs.
L’amende de 2,3 millions d’euros a été infligée à la suite du constat de violation de :
Cette sanction n’est pas seulement financière. Vinted devra également mettre en place des mesures correctives pour se conformer pleinement au RGPD. Cela inclut une révision de ses politiques de confidentialité, la limitation de la conservation des données et la modification de ses procédures de vérification d’identité.
Cette décision de la CNIL représente un avertissement clair aux plateformes numériques quant à l'importance cruciale de respecter les droits fondamentaux des utilisateurs en matière de protection des données. Elle souligne également la nécessité pour les entreprises de technologie de mettre en place des pratiques rigoureuses de gestion des données personnelles pour éviter des amendes sévères et préserver leur réputation sur le marché européen.
***
Si vous souhaitez bénéficier d’un accompagnement personnalisé : le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Communiqué de l’autorité lituanienne : https://vdai.lrv.lt/en/news/a-company-operating-an-online-second-hand-clothing-trading-and-exchange-platform-is-fined-under-the-general-data-protection-regulation/