Le 2 juillet 2024, l’autorité lituanienne de contrôle de la protection des données, la State Data Protection Inspectorate (SDPI), a infligé une amende de 2 millions et 385 276 euros à Vinted UAB, l’opérateur de la plateforme en ligne spécialisée dans le commerce de seconde main « Vinted ».
L’amende a été imposée par la SDPI après l’examen des plaintes transmises, notamment par les autorités de contrôle française et polonaise, qui ont constaté des violations de l’article 5(1)(a) du règlement général sur la protection des données (RGPD) concernant les principes de licéité, de loyauté et de transparence, de l’article 5(2) du RGPD relatif au principe de responsabilité, ainsi que des articles 12(1) et 12(4) du RGPD, portant sur la transparence de l’information, de la communication et sur les conditions d’exercice des droits des personnes concernées.
VINTED : les premières plaintes devant la CNIL.
Créée à Vilnius en 2008 par les lituaniens Justas Janauskas et Milda Mitkute, la plateforme Vinted est accessible via une application mobile ou un navigateur internet. Elle compte environ 50 millions d’utilisateurs actifs mensuels dans le monde. En 2023, Vinted a réalisé un chiffre d’affaires de 596 millions d’euros.
« À partir de 2020, la CNIL a été saisie de nombreuses plaintes à l’encontre de la société Vinted, portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données », précise un communiqué officiel de la CNIL en date du 3 juillet.
𝐐𝐮𝐞𝐥𝐬 𝐬𝐨𝐧𝐭 𝐥𝐞𝐬 𝐦𝐚𝐧𝐪𝐮𝐞𝐦𝐞𝐧𝐭𝐬 𝐫𝐞𝐭𝐞𝐧𝐮𝐬 𝐜𝐨𝐧𝐭𝐫𝐞 𝐕𝐢𝐧𝐭𝐞𝐝 ?
A la suite des investigations, la SDPI a identifié plusieurs manquements au RGPD de la part de la société Vinted.
A- 𝐓𝐫𝐚𝐢𝐭𝐞𝐦𝐞𝐧𝐭 𝐧𝐨𝐧 𝐥𝐨𝐲𝐚𝐥 𝐝𝐞𝐬 𝐝𝐞𝐦𝐚𝐧𝐝𝐞𝐬 𝐝’𝐞𝐟𝐟𝐚𝐜𝐞𝐦𝐞𝐧𝐭 : Selon la CNIL, la plateforme n’a pas traité « de manière loyale et transparente » les demandes d’effacement de données personnelles des utilisateurs lorsque celles-ci ne respectaient pas un critère spécifié à l’article 17 du RGPD. De plus, la plateforme n’a pas expliqué les raisons du refus aux demandeurs.
B- 𝐔𝐭𝐢𝐥𝐢𝐬𝐚𝐭𝐢𝐨𝐧 𝐢𝐥𝐥𝐞́𝐠𝐚𝐥𝐞 𝐝𝐞 𝐥𝐚 𝐩𝐫𝐚𝐭𝐢𝐪𝐮𝐞 𝐝𝐞 « 𝐛𝐚𝐧𝐧𝐢𝐬𝐬𝐞𝐦𝐞𝐧𝐭 𝐟𝐮𝐫𝐭𝐢𝐟 » :
C’est une méthode qui permet de « rendre invisible pour les autres utilisateurs l’activité d’un utilisateur considéré comme malveillant (qui ne respecte pas les règles de la plateforme) », sans que celui-ci ne s’en aperçoive, « dans le but de l’inciter à quitter la plateforme ».
Si cette fonctionnalité part d’une bonne intention, la CNIL désapprouve les « conditions dans lesquelles elle a été mise en œuvre ». Selon l’autorité française, ce bannissement furtif porte atteinte aux droits des utilisateurs « notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations. »
C- 𝐀𝐛𝐬𝐞𝐧𝐜𝐞 𝐝𝐞 𝐩𝐫𝐞𝐮𝐯𝐞 𝐝𝐞 𝐫𝐞́𝐩𝐨𝐧𝐬𝐞 𝐚𝐮𝐱 𝐝𝐞𝐦𝐚𝐧𝐝𝐞𝐬 𝐝𝐞 𝐝𝐫𝐨𝐢𝐭 𝐝’𝐚𝐜𝐜𝐞̀𝐬 : la plateforme ne collectait aucune preuve de la prise en charge des demandes d’exercice de droit d’accès aux données personnelles de ses utilisateurs.
Le choix du montant de l’amende.
Pour déterminer le montant de l’amende, le SDPI s’est appuyé sur les lignes directrices 04/2022 du 24 mai 2023 du comité européen de la protection des données sur le calcul des amendes administratives en vertu du RGPD. Cette évaluation a pris en compte plusieurs facteurs, notamment la portée transfrontalière du traitement des données par la société, l’impact des infractions sur un grand nombre de personnes concernées et leur durée prolongée.
Étant donné que les plaintes concernaient également des données personnelles de citoyens d’autres États membres de l’Union européenne, la décision a été coordonnée avec les autorités de contrôle de la protection des données de ces États membres, en appliquant le principe du « guichet unique ». Les autorités de contrôle de l’Allemagne, de la France, de la Pologne, des Pays-Bas et de l’Espagne ont été identifiées comme étant les autorités concernées.
Vinted face à l’amende : Réactions et actions.
« Nous désapprouvons fondamentalement cette décision et nous continuerons à faire appel comme nous l’avons fait tout au long de cette procédure », précise de son côté Vinted. « Nous avons massivement investi pour nous conformer aux règles en vigueur et pour assurer la protection des données de nos membres » assure-t-elle.
Vinted ajoute que la décision prise ne repose sur « aucun fondement » et qu’elle établit « un nouveau précédent qui va à la fois au-delà de la législation actuelle et des pratiques du secteur ».
Sources :
