Lourdes amendes pour Vinted et Kruidvat : importance du respect du RGPD

En juillet 2024, des amendes très médiatisées ont été infligées par des autorités de contrôle nationales de la protection de la vie privée. Ainsi, l’autorité de contrôle lituanienne a infligé une amende de plus de 2 millions d’euros à Vinted, la plateforme de seconde main populaire. La raison en était le traitement défaillant de demandes de suppression de données personnelles par des utilisateurs de la plateforme. Un autre exemple est l’amende de 600 000 euros infligée à l’enseigne de droguerie Kruidvat par l’autorité de contrôle RGPD néerlandaise pour avoir utilisé des « cookies traceurs » sans le consentement des visiteurs.

Ces amendes soulignent une fois de plus l’importance pour toutes les entreprises de respecter la législation européenne et nationale en matière de données personnelles de clients, d’employés ou de fournisseurs.

Décision de l’autorité de contrôle nationale de la protection des données – amende Vinted

Un certain nombre d’utilisateurs de la plateforme Vinted ont porté plainte auprès des autorités de contrôle françaises et polonaises du fait que Vinted n’avait pas (ou insuffisamment) répondu à leurs demandes d’accès ou de suppression des données personnelles que la plateforme conservait à leur sujet. Ces plaintes ont été transmises à l’autorité de contrôle lituanienne compétente, le siège de Vinted se trouvant en Lituanie.

L’enquête menée par l’autorité de contrôle a révélé plusieurs infractions, notamment :

• Manque de traitement approprié en cas de demande d’accès ou de suppression
  La plateforme n’a pas répondu de manière adéquate aux demandes des personnes concernées. Vinted a demandé à tort aux personnes concernées de fournir un motif spécifique pour la demande de suppression des données personnelles. En outre, Vinted n’a pas fait preuve de transparence à l’égard des personnes concernées quant aux raisons du refus de la demande de suppression.
• ’Shadow banning’ : Il a également été constaté que la plateforme appliquait le
  « shadow banning » (en français bannissement furtif) de manière illégale et en violation de certains principes du RGPD. Le « shadow banning » ou « shadow blocking » est l’utilisation de données personnelles dans le but d’exclure de la plateforme sans le notifier les utilisateurs qui auraient violé les lignes directrices de Vinted. Cette dernière a appliqué ces pratiques sans informer les utilisateurs de ce traitement de leurs données personnelles.
• Non-respect du principe de responsabilité : Les autorités de contrôle ont constaté que Vinted n’avait pas pris des mesures techniques et organisationnelles suffisantes pour garantir le respect du « principe de responsabilité » prévu par la loi sur le droit d’auteur, afin de pouvoir démontrer que l’entreprise avait pris des mesures concernant le droit d’accès.

Décision de l’autorité de contrôle RGDP nationale – amende Kruidvat

La chaîne de drogueries Kruidvat, connue pour sa large gamme de produits de santé et de beauté, a été mise en cause par l’autorité de contrôle RGPD néerlandaise pour avoir installé des « cookies traceurs » sans le consentement des visiteurs de son site web. Grâce à ces cookies sur le site kruidvat.nl, Kruidvat a collecté des données personnelles des visiteurs, telles que la localisation, le comportement de navigation, les achats et les recommandations sur lesquelles ils ont cliqué. Ces données ont été utilisées pour créer des profils personnalisés.

Il a été établi qu’il s’agissait d’un traitement illégal de données à caractère personnel. En effet, les cookies traceurs ont été installés sur les ordinateurs des visiteurs sans leur consentement préalable. Sur le site web kruidvat.nl, la bannière relative aux cookies présentait des cases à cocher où l’option « Accepter tous les cookies » était automatiquement sélectionnée, ce qui ne remplit pas les conditions d’un consentement valable en vertu des principes du RGPD. Il a également été constaté que la procédure de retrait du consentement (« opt-out ») était trop compliquée et trop difficile : la mise en place de cookies traceurs requiert le consentement juridiquement valable de la part des visiteurs du site web. En d’autres mots, le consentement doit être libre, spécifique, bien informé et sans ambiguïté. L’utilisation de cases pré-cochées dans la bannière des cookies ne répond pas à cette exigence. La collecte et le traitement de données personnelles de cette manière sont donc considérés comme illégaux (et en violation de la loi sur la protection des données).

Qu’est-ce que cela signifie pour votre entreprise ?

Ces deux jugements rappellent l’importance de traiter les données personnelles conformément aux principes RGPD, comme nous l’avons vu plus haut dans cet article.

Les entreprises devront informer les personnes concernées (clients, employés, fournisseurs, etc.), tant en interne qu’en externe, du traitement de leurs données personnelles de manière claire, transparente et compréhensible, y compris lors du traitement des demandes d’accès ou de suppression ou lors de la mise en place de cookies via une bannière de cookies. Le non-respect de ces principes RGPD peut entraîner – comme on l’a vu dans les cas de Vinted et de Kruidvat – une amende infligée aux entreprises par l’autorité de contrôle nationale de la protection de la vie privée.

Nos experts juridique sont là pour vous aider

En tout état de cause, PKF BOFIDI Legal peut vous aider à vous conformer à la loi RGPD, notamment en rédigeant des règles internes et externes claires, en vous conseillant sur le traitement licite des données à caractère personnel, sur l’obligation de transparence, sur la mise en place de bannières de cookies, etc. N’hésitez pas à contacter notre équipe.

Cet article a été rédigé par Jenny Cheung, spécialisée dans la propriété intellectuelle, les TIC, la protection des données et la vie privée.