Vinted est un site bien connu des internautes, notamment français. La marketplace spécialisée dans la seconde main compte près de 50 millions d’utilisateurs actifs dans le monde. Mais Vinted ne fait pas que des heureux.
Dès 2020, la Cnil était saisie de “nombreuses” plaintes. L’autorité précise que les plaignants reprochaient majoritairement à la plateforme de faire obstacle à l’exercice de leur droit à l’effacement des données. Mais avec un siège en Lituanie, Vinted ne dépend pas de la compétence du gendarme français.
5 Cnil unies face à Vinted
Le RGPD a toutefois prévu une procédure adaptée permettant la coopération entre régulateurs. La Cnil s’est donc rapprochée de son homologue lituanien pour instruire ces plaintes. D’autres autorités (polonaise, néerlandaise et allemande) européennes ont également été associées à ce dossier.
Cette coopération s’est conclue par une amende de 2,3 millions d’euros pour Vinted. Une sanction justifiée par plusieurs manquements constatés au RGPD. Comme le suggéraient les plaintes, les demandes d’effacement des utilisateurs étaient traitées de manière inadéquate.
L’enquête reproche à la société l’application d’une méthode qui n’était ni loyale ni transparente. Vinted “ne pouvait pas refuser l’effacement au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD dans leur demande d’effacement”, signale la Cnil.
Un site adepte du bannissement furtif
La coopération entre les autorités de protection a aussi permis de mettre en évidence un recours illégal à une technique de “bannissement furtif”. Celle-ci consiste à rendre invisible des autres un utilisateur jugé malveillant par la plateforme.
La finalité de cette pratique est d’inciter la cible du bannissement à quitter la plateforme. Mais pour les régulateurs, les conditions de mise en œuvre portait “une atteinte excessive aux droits des utilisateurs”. Faute d’être informés, les utilisateurs ne pouvaient exercer leurs droits.
Pour la Cnil, le bannissement furtif est en outre de nature à “engendrer des discriminations”. Enfin, Vinted “n’a pas pu prouver qu’elle avait correctement répondu à des demandes de droit d’accès.” Elle est par conséquent sanctionnée pour manquements au RGPD.
Cette condamnation est pour le gendarme français des données personnelles l’opportunité de rappeler les plateformes à leurs obligations, signale-t-il. Et parmi celles-ci, l’obligation de “veiller à garantir l’exercice des droits des personnes”, dont le droit à un traitement loyal et transparent de leurs données.