Vinted Vinted a été condamnée à une amende de 2,3 millions d'euros pour n'avoir pas respecté le droit d'accès et le droit à l'oubli de ses utilisateurs. La plateforme avait aussi, « illégalement », mis en œuvre un « bannissement furtif » invisibilisant les utilisateurs « malveillants » dans le but de les inciter à quitter la plateforme.
L’autorité lituanienne de protection des données a prononcé, en coopération avec la CNIL, une amende de 2 385 276 euros à l’encontre de la société Vinted UAB pour « plusieurs manquements » visant les utilisateurs de la plateforme et application mobile de revente de vêtements et accessoires d'occasion.
La CNIL avait en effet été saisie de nombreuses plaintes à son sujet à partir de 2020, « portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données ».
Vinted ayant son siège social en Lituanie, c'est son autorité nationale de protection des données, la State Data Protection Inspectorate (SDPI), qui était compétente pour mener les investigations sur ce dossier, en application du RGPD.
Vinted ne respectait ni le droit d'accès ni le droit à l'oubli
Les plaintes françaises lui ont donc été communiquées. La CNIL précise avoir « étroitement coopéré » avec son homologue, ainsi qu'avec les autres autorités concernées (polonaise, néerlandaise et allemande).
À l’issue des enquêtes, l’autorité lituanienne de protection des données a conclu que Vinted n’a pas pu prouver qu’elle avait correctement répondu à des demandes de droit d’accès. Elle n'a pas non plus traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues :
- la société ne pouvait pas refuser l'effacement au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD dans leur demande d'effacement ;
- dans les cas où elle a refusé l’effacement, la société n’a pas indiqué aux plaignants toutes les raisons du refus.
Un système illégal de « bannissement furtif »
Vinted avait aussi mis en œuvre un « bannissement furtif » illégal. Cette méthode consiste à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur considéré comme « malveillant » (parce qu'il ne respecte pas les règles de la plateforme), mais sans que ce dernier ne s’en aperçoive, et « dans le but de l’inciter à quitter la plateforme » :
« Bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations (inefficacité de l’exercice du droit à contacter l’assistance client, impossibilité d’exercer ses droits, etc.). »
De plus, souligne la CNIL, les objectifs du bannissement furtif pouvaient aussi être atteints par le blocage complet « qui intervenait automatiquement 30 jours après le bannissement furtif et dont les personnes étaient informées ».
Vinted va faire appel
« Nous désapprouvons fondamentalement cette décision », a indiqué Vinted à l’AFP, qui estime qu’elle n’a « aucun fondement juridique » et établit « un nouveau précédent qui va à la fois au-delà de la législation actuelle et des pratiques du secteur ». L’entreprise a indiqué qu’elle fera appel de cette décision.
Créée à Vilnius en 2008, Vinted est devenue bénéficiaire pour la première fois en 2023. Elle emploie plus de 2000 personnes, dont la majorité en Lituanie.
La France est le premier marché de la plateforme de vente d’articles d’occasion Vinted, avec 23 millions d’utilisateurs à fin 2023, soit 29 % de sa base de clients mondiale. Ses ventes avaient grimpé de 32 % en 2022, rapportait par ailleurs l'AFP en mars dernier.
Commentaires (7)
#1
Du coup, ça me parait dangereux ça. Car là, la CNIL Lituanienne est quand même en train de dire que le shadow ban est interdit. On est d'accord que cette solution est loin d'être parfaite, notamment lorsqu'il y a une erreur d'appréciation, mais c'est quand même une bonne protection plus ou moins difficile à détecter / contourner pour les arnaqueurs en tout genre.
Car pour lutter contre les acteurs malveillants, c'est quand même plus efficace de leur faire croire qu'ils sont sur la plateforme, mais en fait invisibilisé, que de leur dire directement que leur activité malveillante a été détectée et que le compte a été fermé. Maintenant, ils ont juste à en ouvrir un autre...
Et le shadow ban est plus ou moins répandu, même s'il n'y a pas trop de publicité autour (si ça se sait, c'est déjà moins efficace). Mais des acteurs comme Reddit, Instagram, etc. y ont déjà eu recours.
#1.1
#1.2
Ici, Vinted empêchait d'exercer ces droits accordés par le RGPD.
#1.3
Elle reproche à Vinted ce qui est le principe même du shadow ban : ne pas informer l'utilisateur de sa situation.
Il est aussi question d'une restriction de droits, mais il est bien écrit que ne pas en informer l'utilisateur est une partie de la justification de la décision.
Sinon surpris de voir que la France est leur plus gros marché.
Ce serait intéressant de savoir ce qui explique cette différence.
Habitudes de consommation ? Non concurrence ? Stratégie marketing ?
#1.6
Effectivement Vinted aurait dû répondre à la requête. Et vu la qualification de l'utilisateur Vinted aurait pu prendre son temps pour lui répondre. Ca aurait été un bon compromis.
#1.4
#1.5
Ou alors on réclame un prélèvement ADN au moment de l'inscription pour être sûr qu'un bani ne recommence pas avec un autre compte et esquive la règle qui vient de le détecter.
Il y aurait un problème si le bani continuait à payer un abonnement. Ce n'est pas le cas ici.
Et quand bien même il y aurait un abo, la plateforme pourrait attendre un (grand) nombre aléatoire de jours pour lui notifier son bannissement et le rembourser.