La société Vinted, bien connue pour sa plateforme de marché en ligne permettant l’achat, la vente et l’échange de vêtements, d’accessoires et d’objets d’occasion, a récemment été sanctionnée pour plusieurs manquements au Règlement Général sur la Protection des Données (RGPD). Cette affaire illustre une fois de plus l’importance cruciale de la gestion des demandes de droits des utilisateurs et la transparence dans le traitement des données personnelles.

Contexte 

Depuis 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) a été saisie de nombreuses plaintes de la part d’utilisateurs de Vinted, majoritairement concernant des difficultés rencontrées dans l’exercice de leur droit à l’effacement des données. Vinted, qui compte environ 50 millions d’utilisateurs actifs mensuels dans le monde, et dont le siège social est situé en Lituanie, a suscité l’attention de l’autorité lituanienne de protection des données, compétente pour mener les investigations. La CNIL a cependant étroitement collaboré avec son homologue lituanienne ainsi qu’avec d’autres autorités européennes dans ce dossier.

Manquements retenus

Non-gestion des demandes de droit

L’enquête a révélé que Vinted ne traitait pas de manière adéquate les demandes d’effacement des données. La société a refusé certaines demandes au motif que les utilisateurs ne mentionnaient pas explicitement un des critères prévus par le RGPD. De plus, dans les cas où les demandes étaient refusées, Vinted n’a pas fourni aux plaignants toutes les raisons de ce refus, ce qui contrevient au principe de transparence exigé par le RGPD.

Un “bannissement furtif » identifié 

Vinted a également mis en œuvre une méthode controversée de « bannissement furtif ». Cette pratique rendait l’activité d’un utilisateur invisible pour les autres, sans que l’utilisateur en soit informé, dans le but de l’inciter à quitter la plateforme. Bien que destinée à protéger la plateforme contre les comportements malveillants, cette méthode a été jugée excessive et discriminatoire. Les utilisateurs n’étaient pas informés de cette mesure, ce qui compliquait l’exercice de leurs droits, tels que le droit de contacter l’assistance client.

Manquement à la réponse aux demandes d’accès

Enfin, Vinted n’a pas pu prouver qu’elle répondait correctement aux demandes de droit d’accès des utilisateurs. Cette faille est particulièrement préoccupante car elle empêche les utilisateurs de vérifier les informations détenues sur eux et de rectifier ou supprimer des données inexactes ou obsolètes.

Cet article pourrait vous intéresser : Comprendre les Demandes d’exercice de Droits : Un Guide Pratique pour les Entreprises

Décision de l’autorité Lituanienne 

Le 2 juillet 2024, l’Inspection Nationale de la Protection des Données (SDPI) en Lituanie a infligé une amende de 2 385 276 € à Vinted UAB. Cette sanction fait suite à des plaintes d’utilisateurs relayées par les autorités françaises et polonaises, révélant des violations du RGPD. La SDPI a également noté l’absence de mesures techniques et organisationnelles suffisantes pour prouver la conformité au RGPD. L’amende a été calculée en fonction des directives du Comité Européen de la Protection des Données, prenant en compte la portée transfrontalière et la durée des violations. La décision peut être contestée par Vinted devant le tribunal administratif régional dans un délai d’un mois.

L’importance de la transparence et de la gestion des droits

Cette sanction met en lumière des problématiques récurrentes et pourtant facilement évitables : le manque de gestion des demandes de droit et le déficit de transparence.

La gestion des Demandes de Droits

La gestion des demandes de droits des utilisateurs est un aspect crucial de la conformité au RGPD. Les entreprises doivent mettre en place des procédures efficaces pour traiter ces demandes rapidement et de manière appropriée. Ignorer ou mal gérer ces demandes peut entraîner des sanctions sévères, comme l’a démontré le cas de Vinted, car ce manquement est la première cause de plaintes des particuliers auprès des autorités de contrôle. Les entreprises doivent s’assurer que leur personnel est bien formé et que leurs systèmes sont capables de traiter les demandes de manière transparente et efficace.

 La transparence : pilier du RGPD

La transparence est essentielle pour établir une relation de confiance entre les entreprises et leurs utilisateurs. Fournir des informations claires et complètes sur la manière dont les données sont collectées, utilisées et partagées est non seulement une obligation légale, mais aussi une bonne pratique commerciale. En omettant de fournir des raisons claires pour le refus d’une demande d’effacement, Vinted a manqué à cette obligation, engendrant une méfiance accrue parmi ses utilisateurs. 

Cet article pourrait vous intéresser : Comment préparer votre entreprise à un contrôle de la CNIL ?

Conclusion

La sanction de Vinted par l’autorité lituanienne de protection des données, en coopération avec la CNIL et d’autres autorités européennes, réaffirme l’importance du respect des droits des utilisateurs et de la transparence dans le traitement des données personnelles. Cette affaire sert de rappel aux entreprises du secteur numérique : la conformité au RGPD n’est pas optionnelle, et les manquements peuvent entraîner des conséquences graves. Pour éviter de telles sanctions, il est impératif de gérer efficacement les demandes de droits des utilisateurs et de maintenir une transparence totale dans le traitement des données personnelles.