Le 2 juillet 2024, l’inspection nationale de la protection des données (SDPI) de Lituanie a infligé une amende de 2 385 276 euros à Vinted, opérateur de la plateforme de vente et d’échange de produits d’occasion. Cette sanction fait suite à l’examen des plaintes transmises en 2021 et 2022 par les autorités de surveillance française et polonaise et à la découverte de plusieurs manquements au Règlement général sur la protection des données (RGPD). Les plaignants alléguaient que Vinted n’avait pas correctement répondu à leurs demandes concernant le droit à l’effacement des données et le droit d’accès.
I. Les manquements retenus
Le mauvais traitement des demandes d’exercice de droits :
La société refusait les demandes d’effacement des données aux motifs que les personnes concernées ne mentionnaient pas explicitement dans leur demande un des critères prévus par l’article 17 du RGPD.
De plus, la société ne fournissait pas toutes les raisons justifiant de son inaction, ce qui contrevenait aux exigences de transparence.
Pour mémoire, l’article 17 du RGPD indique que la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de ses données, lorsque l’un des motifs suivants s’applique:
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, et il n’existe pas d’autre fondement juridique au traitement;
c) la personne s’oppose au traitement, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose à la prospection commerciale;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information à destination de personnes mineures.
En effet, s’il est envisageable de demander le motif de la demande, il est interdit de répondre simplement par la négative.
De plus, Vinted n’a pas pris de mesures techniques et organisationnelles suffisantes pour assurer le respect du principe d’accountability lui permettant de démontrer qu’elle avait correctement répondu à des demandes de droit d’accès ou qu’elle les avait légitimement refusées.
Le bannissement furtif : une pratique déloyale en l’absence d’information préalable :
L’enquête a également révélé que Vinted utilisait une méthode consistant à rendre invisible l’activité d’un utilisateur considéré comme malveillant sans l’en informer, pour inciter ce dernier à quitter la plateforme. Cette pratique, bien qu’ayant pour objectif de sécuriser la plateforme, a été appliquée dans des conditions portant une atteinte excessive aux droits des utilisateurs, violant ainsi les principes de transparence et de loyauté du RGPD.
Le communiqué de l’autorité locale indique également que ce traitement réalisé à l’insu des personnes, les a privées de pouvoir exercer leurs droits.
II. Critères de calcul de l’amende
Conformément aux lignes directrices du Comité européen de la protection des données (CEPD- Guidelines 04/2022 of 24 May 2023) sur le calcul des amendes administratives, la SDPI a pris en compte plusieurs facteurs pour déterminer le montant de l’amende, dont :
- La portée transfrontalière du traitement de données par Vinted,
- Le grand nombre de personnes affectées par les infractions,
- La durée prolongée des infractions.
En conclusion, cette décision réaffirme l’impératif pour les plateformes en ligne de garantir l’exercice des droits des personnes concernées et d’assurer un traitement des données conforme aux principes de loyauté et de transparence. Une analyse d’impact de ce traitement de bannissement furtif et des contrôles ponctuels de la méthodologie de réponse aux demandes d’exercice des droits aurait certainement permis d’éviter l’amende.
Charlotte GALICHET