Les récentes amendes infligées à Vinted et Kruidvat soulignent l’importance d’une bonne conformité au RGPD (GDPR). Cet article explique ce qui a mal tourné et pourquoi il est crucial de prendre au sérieux les lois sur la protection de la vie privée.
En juillet 2024, des amendes très médiatisées ont été infligées par des autorités de contrôle nationales de la protection de la vie privée. Ainsi, l’autorité de contrôle lituanienne a infligé une amende de plus de 2 millions d’euros à Vinted, la plateforme de seconde main populaire. La raison en était le traitement défaillant de demandes de suppression de données personnelles par des utilisateurs de la plateforme. Un autre exemple est l’amende de 600 000 euros infligée à l’enseigne de droguerie Kruidvat par l’autorité de contrôle RGPD néerlandaise pour avoir utilisé des « cookies traceurs » sans le consentement des visiteurs.
Ces amendes soulignent une fois de plus l’importance pour toutes les entreprises de respecter la législation européenne et nationale en matière de données personnelles de clients, d’employés ou de fournisseurs.
Un certain nombre d’utilisateurs de la plateforme Vinted ont porté plainte auprès des autorités de contrôle françaises et polonaises du fait que Vinted n’avait pas (ou insuffisamment) répondu à leurs demandes d’accès ou de suppression des données personnelles que la plateforme conservait à leur sujet. Ces plaintes ont été transmises à l’autorité de contrôle lituanienne compétente, le siège de Vinted se trouvant en Lituanie.
L’enquête menée par l’autorité de contrôle a révélé plusieurs infractions, notamment :
La chaîne de drogueries Kruidvat, connue pour sa large gamme de produits de santé et de beauté, a été mise en cause par l’autorité de contrôle RGPD néerlandaise pour avoir installé des « cookies traceurs » sans le consentement des visiteurs de son site web. Grâce à ces cookies sur le site kruidvat.nl, Kruidvat a collecté des données personnelles des visiteurs, telles que la localisation, le comportement de navigation, les achats et les recommandations sur lesquelles ils ont cliqué. Ces données ont été utilisées pour créer des profils personnalisés.
Il a été établi qu’il s’agissait d’un traitement illégal de données à caractère personnel. En effet, les cookies traceurs ont été installés sur les ordinateurs des visiteurs sans leur consentement préalable. Sur le site web kruidvat.nl, la bannière relative aux cookies présentait des cases à cocher où l’option « Accepter tous les cookies » était automatiquement sélectionnée, ce qui ne remplit pas les conditions d’un consentement valable en vertu des principes du RGPD. Il a également été constaté que la procédure de retrait du consentement (« opt-out ») était trop compliquée et trop difficile : la mise en place de cookies traceurs requiert le consentement juridiquement valable de la part des visiteurs du site web. En d’autres mots, le consentement doit être libre, spécifique, bien informé et sans ambiguïté. L’utilisation de cases pré-cochées dans la bannière des cookies ne répond pas à cette exigence. La collecte et le traitement de données personnelles de cette manière sont donc considérés comme illégaux (et en violation de la loi sur la protection des données).
Ces deux jugements rappellent l’importance de traiter les données personnelles conformément aux principes RGPD, comme nous l’avons vu plus haut dans cet article.
Les entreprises devront informer les personnes concernées (clients, employés, fournisseurs, etc.), tant en interne qu’en externe, du traitement de leurs données personnelles de manière claire, transparente et compréhensible, y compris lors du traitement des demandes d’accès ou de suppression ou lors de la mise en place de cookies via une bannière de cookies. Le non-respect de ces principes RGPD peut entraîner – comme on l’a vu dans les cas de Vinted et de Kruidvat – une amende infligée aux entreprises par l’autorité de contrôle nationale de la protection de la vie privée.
En tout état de cause, PKF BOFIDI Legal peut vous aider à vous conformer à la loi RGPD, notamment en rédigeant des règles internes et externes claires, en vous conseillant sur le traitement licite des données à caractère personnel, sur l’obligation de transparence, sur la mise en place de bannières de cookies, etc. N’hésitez pas à contacter notre équipe.
Cet article a été rédigé par Jenny Cheung, spécialisée dans la propriété intellectuelle, les TIC, la protection des données et la vie privée.