L’autorité lituanienne de protection des données a infligé une amende de plus de 2,3 millions d’euros à Vinted après des plaintes déposées notamment en France, a annoncé la CNIL, le gendarme de la vie privée des Français.
À partir de 2020, la CNIL a été saisie de nombreuses plaintes à l’encontre de Vinted, importante marché en ligne communautaire, portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données. En application des procédures de coopération instaurées par le règlement général sur la protection des données (RGPD), c’est l’autorité lituanienne de protection des données qui était compétente pour mener les investigations sur ce dossier, Vinted ayant son siège social en Lituanie. Les plaintes françaises ont donc été communiquées à l’autorité lituanienne.
La CNIL a étroitement coopéré avec son homologue tout au long de la procédure, ainsi qu’avec les autres autorités concernées (polonaise, néerlandaise et allemande). Le montant précis de l’amende est de 2 385 276 euros.
Trois problèmes pour Vinted
À l’issue des investigations, l’autorité lituanienne de protection des données a retenu plusieurs manquements au RGPD à l’encontre de Vinted :
- La société n’a pas traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues. Elle ne pouvait pas refuser l’effacement au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD dans leur demande d’effacement. Dans les cas où elle a refusé l’effacement, la société n’a pas indiqué aux plaignants toutes les raisons du refus.
- Elle a mis en œuvre illégalement le « bannissement furtif », une méthode qui consiste à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur considéré comme malveillant (qui ne respecte pas les règles de la plateforme), sans que ce dernier ne s’en aperçoive, dans le but de l’inciter à quitter la plateforme. Bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations (inefficacité de l’exercice du droit à contacter l’assistance client, impossibilité d’exercer ses droits, etc).
- La société n’a pas pu prouver qu’elle avait correctement répondu à des demandes de droit d’accès.
La CNIL a informé les plaignants de cette décision, conformément à ce que prévoit le RGPD.
Un commentaire pour cet article :