Mardi 2 juillet, l’Autorité lituanienne de protection des données, en coopération avec la Cnil, a prononcé une amende de 2 385 276 euros à l’encontre Vinted, le géant de la seconde main en ligne, pour manquements au RGPD.
Vinted condamné à 2,3 millions d’euros par l’Autorité de protection des données lituanienne
“Tu ne le portes pas ? Vends-le !” L’idée a fait le succès mondial du site (et de l’application) lituanien Vinted, spécialiste de la vente en ligne de vêtements de seconde main. Un succès qui cache le fait que lorsqu'on se sépare de ses vêtements, on se déleste aussi de ses données personnelles. C’est la conclusion à laquelle est parvenue l’Autorité lituanienne de protection des données (SDPI), avec le concours de la Cnil, et qui justifie une amende de 2 385 276 euros infligée à la société, annonce le gendarme des données personnelles français dans un communiqué du 3 juillet.
Manque de transparence
La SDPI, aidée de plusieurs autorités nationales, dont la Cnil, a mis au jour plusieurs manquements au RGPD. Loyauté et transparence sont foulées aux pieds par Vinted qui “n’a pas traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues”. Plus précisément, la société refusait d’effacer les données personnelles des utilisateurs au motif qu’ils ne citaient pas dans leur demande l’un des critères d’effacement prévu par le RGPD. De plus, elle n’indiquait pas toutes les raisons de ses refus aux utilisateurs.
Le numéro 1 de la vente en ligne de vêtement de seconde main s’est également rendu coupable de “bannissement furtif”. C’est-à-dire d’avoir rendu invisibles aux yeux des utilisateurs les membres ne respectant pas les règles de la plateforme, sans que ces derniers ne s’en aperçoivent. L'objectif ? Les inciter à quitter Vinted. Oui mais, “bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs”, relève la Cnil. Cette pratique non seulement violait les obligations de loyauté et de transparence incombant au site, mais aussi empêchait les utilisateurs concernés par le “bannissement” d’exercer leurs droits.
Dernier des manquements repérés par la SDPI, le droit d’accès. “La société n’a pas pu prouver qu’elle avait correctement répondu [aux demandes] de droit d’accès” de certains utilisateurs.
Enquête européenne
L’entreprise balte a indiqué à l’AFP désapprouver “fondamentalement cette décision” qui n’a à son sens “aucun fondement juridique” et crée “un nouveau précédent qui [va] à la fois au-delà de la législation actuelle et des pratiques du secteur”, rapporte Le Monde. Elle annonce donc interjeter appel de cette décision.
En 2020, la Cnil avait été saisie de nombreuses plaintes “portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données”, à l’encontre de la société lituanienne. Ainsi que le prévoit le RGPD, l’autorité compétente est celle où l’entreprise visée a son établissement principal (ou unique). Le siège de Vinted étant à Vilnius, la Cnil a donc communiqué les plaintes dont elle a été saisie à l’Autorité de protection des données lituanienne. Cette enquête aura réuni les autorités de protection des données de six pays différents : Allemagne, Espagne, France, Lituanie, Pays-Bas et Pologne.
Chloé Lassel