La protection des données personnelles correspond à une préoccupation constante des sociétés démocratiques du 21ème siècle. En France, cette préoccupation s’est traduite d’abord, par l’adoption de la loi « Informatique et libertés » du 6 janvier 1978 et par la mise en place de la Commission nationale informatique et des libertés (CNIL). Cette préoccupation devenue d’ordre européen avec l’adoption du règlement général sur la protection des données (RGPD) en application depuis le 25 mai 2018.
D’après l’article 4 du RGPD, la donnée à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Or est réputée être « une personne physique identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Les données personnelles se sont multipliées avec le développement des technologies de l’information et de la communication. En vertu du RGPD, constitue un traitement de données personnelles « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion où toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
Pour un site comme Vinted ces données personnelles permettent de déterminer le profil numérique d’une personne. Ainsi lorsque Vinted récolte ces données c’est dans le but de satisfaire le bien-être du consommateur mais surtout d’optimiser la rémunération du site notamment à l’aide de publicité ou de proposition d’achat plus pertinente selon le profil de l’utilisateur établi grâce à la récolte des données personnelles.
Or, le 18 novembre 2021 la Cnil Française a annoncé la mise en place d’une enquête sur la conformité du site Vinted au RGPD. Cette enquête en coopération avec l’autorité de protection des données de la Pologne et de la Lituanie qui dirige cette enquête car c’est là où se trouve le siège social de la plateforme en vertu de l’article 56 du RGPD.
Cette enquête en coopération entre différentes autorités européennes est prévue par le RGPD notamment dans son article 60 lorsqu’il existe un traitement transfrontalier des données des utilisateurs. En effet, Vinted est une entreprise établie dans différents pays européens comme la France, Lituanie ou encore l’Espagne. Ainsi cette coopération européenne de ces autorités va permettre de faciliter les échanges d’information nécessaire mais aussi d’uniformiser la sanction en cas de violation du RGPD par Vinted.
De plus ce groupe est supervisé par le Comité européen de la protection des données (CEPD) dont la mission principale est le respect du RGPD dans les pays membres de l’Union Européenne. Si cette supervision semble justifier, c’est que ce dernier a pour mission de garantir l’application cohérente du règlement général sur la protection des données mais il peut aussi émettre des décisions contraignantes en cas de différend entre les autorités de contrôle.
Que reproche-t-on à Vinted?
Dans le communiqué du 18 novembre la CNIL affirme que les trois autorités « se concentrent en particulier sur le fonctionnement du site web, qui exige l’envoi d’une copie numérisée de la carte d’identité afin de débloquer le montant des transactions effectuées sur le compte d’un utilisateur. Les contrôles porteront également sur la base légale associée à ce dispositif, sur la procédure et les critères pour bloquer un compte ainsi que sur les durées de conservation des données. »
Vinted demandait l’envoi d’une copie numérisée de la carte nationale d’identité afin de débloquer le montant des transactions effectuées sur le compte d’un utilisateur. Or cela est remis en cause par les différentes autorités de protection des données européennes. Le traitement de données issu d’une numérisation d’une pièce d’identité a été autorisé par le décret no 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité. Or il s’agit d’un fichier qui comporte de très grands nombres d’informations comme la photo, d’une personne, date de naissance etc. C’est donc un traitement de donnée dit sensible qui doit se justifier finalité propre et lorsqu’il n’y a pas d’autre possibilité. Or le fait que Vinted demande une numérisation de la carte nationale d’identité dans l’unique but de procéder à une vérification d’identité pour débloquer des paiements ne semble pas être justifié. En effet il existe d’autres moyens moins intrusifs pour cela par exemple la validation d’un code secret unique.
Dans une affaire similaire le 28 juillet 2020, la Cnil a condamné l’entreprise Spatoo pour manquement aux principes de minimisation et de limitation de la durée de conservation des données. Elle avait considéré dans cette affaire qu’il n’était pas nécessaire la conservation des justificatifs d’identité et de domicile, voire un scan de la carte bancaire, afin de s’assurer ponctuellement de l’identité des clients dans le cadre de la lutte contre la fraude. Ainsi on peut donc se demander si Vinted se verra appliquer une décision similaire.
L’autre reproche fait à Vinted concerne une remise en cause sur la durée de conservation des données. En principe selon le RGPD , les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de la finalité poursuivie de la collecte sauf exception où elles peuvent être archivées lorsqu’elle présente un intérêt public ce qui semble ne pas être le cas en ce qui concerne les données collectées par Vinted.
Dans l’affaire Spatoo on avait estimé que la conservation des données à des fins de prospects est raisonnable dans une durée de deux ans maximum. Par conséquent, on ne peut pas conserver les données de clients au-delà si ces derniers ne sont pas actifs. De plus la Cnil a précisé que le point de départ du délai de conservation des données ne peut avoir lieu au jour de la dernière ouverture par le client d’un mail de prospection. En effet, expose la CNIL, « lorsque le point de départ du délai de conservation des données est le dernier contact émanant du prospect, il doit s’agir d’un événement permettant de démontrer l’intérêt de la personne pour le message reçu, tel qu’un clic sur un lien hypertexte contenu dans un courriel », ce qui n’est pas le cas pour la simple ouverture d’un courriel qui peut se faire involontairement.
Face à ce reproche on a pu voir que le site Vinted a mis à jour ces conditions d’utilisation le 2 décembre dernier. En effet, face à ces accusations Vinted a donc mis en conformité sa politique de gestion des données de ses utilisateurs. Dans cette mise à jour on peut trouver notamment des explications plus approfondies sur la manière dont Vinted et ses partenaires de paiement utilisent les données des utilisateurs, or cela était l’un des points reprochés à l’entreprise. On trouve aussi plus d’explications sur les finalités justifiant la collecte et l’utilisation des données personnelles des utilisateurs mais aussi sur les délais de traitement afin de remplir les conditions de transparence de l’article 12 et 13 du RGPD. On peut supposer que, afin d’éviter toute amende, cette dernière espère qu’en montrant sa bonne foi elle puisse s’en sortir avec un rappel à l’ordre. Mais si les autorités de protection des données ne sont pas satisfaites où considère que sa politique antérieure a violé le RGPD elle risque une sanction allant jusqu’à 4% de son chiffre d’affaires ou maximum une amende de 20 millions d’euros.
De plus une condamnation pourrait porter atteinte à sa e-réputation ce qui sera préjudiciable pour elle. Notamment par le fait que ce n’est pas la première fois que Vinted est accusé d’être à l’origine de pratiques litigieuses. En effet elle s’est vue assignée en justice par l’UFC-Que Choisir le 18 mai 2021 pour “pratiques commerciales trompeuses” devant le Tribunal judiciaire de Paris. L’association de défense des consommateurs l’accuse de facturer une commission “soi-disant optionnelle” et dont le montant n’apparaît qu’au moment de payer.
Bibliographie :
Cécile Crichton « Condamnation de Spartoo : quelle mise en conformité pour un e-commerce ? » CNIL 28 juill. 2020, Spartoo, délib. n° SAN-2020-003 Dalloz actualité 11 septembre 2020
Marie MALAURIE-VIGNAL « Le droit de la concurrence, les données personnelles et le bien-être du consommateur – réflexion sur l’articulation entre deux droits spéciaux » Contrats Concurrence Consommation n° 7, Juillet 2021, repère 7
Communiqué de la Cnil « Les pratiques de la plateforme Vinted contrôlées par des autorités de protection des données européennes » le 18 novembre 2021
Article de la Cnil « La coopération avec les autorités de contrôle européennes » le 25 octobre 2019
Article de la Cnil « Le Comité européen de la protection des données (CEPD ) »
Article UFC-que- Choisir Vinted « L’UFC-Que Choisir lance une action de groupe contre Vinted 18 mai 2021