Le site de vente en ligne de vêtements et objets d’occasion fait l’objet d’une enquête de la part des autorités de protection des données française, lituanienne et polonaise.
Une enquête générée par les plaintes de nombreux utilisateurs. Le 18 novembre, la Commission nationale de l’informatique et des libertés (CNIL) a annoncé, dans un communiqué, qu’elle enquêtait sur Vinted, disponible dans plusieurs pays européens, en coopération avec les gendarmes de protection des données personnelles lituanien et polonais. Les trois autorités ont décidé de former un « groupe de travail » après avoir reçu plusieurs plaintes des utilisateurs concernant le site de vente en ligne de vêtements vinted.com.
Dans le cadre de cette coopération, la CNIL lituanienne est l’autorité chef de file, le siège social de l’entreprise se trouvant en Lituanie. Les trois gendarmes vont ainsi effectuer des contrôles pour voir si le site est conforme au règlement général sur la protection des données (RGPD).
Des contrôles liés à une vérification de l’identité
Si Vinted est sous le coup d’une enquête des CNIL européennes, c’est parce que le site web de la plateforme « exige l’envoi d’une copie numérisée de la carte d’identité afin de débloquer le montant des transactions effectuées sur le compte d’un utilisateur ». Cette procédure appelée « Know Your Customer » (connaissance du client) est utilisée pour vérifier l’identité de l’utilisateur. Concrètement, ce dernier peut être amené à confirmer qu’il est bien la personne cherchant à réaliser un achat ou un virement vers un compte bancaire. Vinted s’en sert pour valider le paiement en cours et les suivants. Cette procédure serait un moyen d’empêcher que l’argent d’une personne soit utilisé par une autre en usurpant son identité.
La société affirme, en revanche, qu’elle ne conserve aucun document dans son système. Les preuves d’identité seraient en effet envoyées à MangoPay, son prestataire de paiements pour effectuer les vérifications nécessaires. Les contrôles des trois CNIL européennes vont ainsi se concentrer sur ce « fonctionnement ». Ils concerneront également la base légale associée à ce dispositif. Le traitement des données personnelles par une entreprise peut, par exemple, être basé sur le consentement des personnes. Les durées de conservation des données, ainsi que la procédure et les critères pour bloquer un compte seront aussi étudiés par les trois autorités.