Selon la CNIL, « à la suite de la réception d’un nombre significatif de plaintes concernant le site de vente en ligne de vêtements vinted.com, géré par l’entreprise lituanienne Vinted UAB, les autorités de protection des données en France, en Lituanie et en Pologne ont décidé de coopérer pour contrôler la conformité du site au RGPD ».
Plusieurs points sont étudiés dont le fonctionnement du site web « qui exige l’envoi d’une copie numérisée de la carte d’identité afin de débloquer le montant des transactions effectuées sur le compte d’un utilisateur ».
Au menu également, les bases légales, les critères pour bloquer un compte et les durées de conservation des données. La CNIL lituanienne est désignée autorité-chef de file.
Commentaires (9)
#1
C’est assez étonnant que ce soit la vérification d’identité des utilisateurs qui pose problème ici.
Le système de kyc dépend de leur prestataire de paiement et est nécessaire à cause d’une loi européenne “contre le blanchiment d’argent”
Le problème est donc le même pour toutes les marketplaces entre particulier, les cnil ont elle une recommandation différente ?
#1.1
Le problème semble ici plus lié à la sécurité du transfert, la conservation et l’accès aux données d’identité qu’au fait de les demander.
#1.2
C’est le mode de fonctionnement de la procédure qui pose problème pas le fait qu’ils se plient à la réglementation sur la connaissance du client.
#2
Quel rapport avec la Pologne ? Son autorité a aussi reçu un grande nombre de plaintes ?
Alors pourquoi les autorités des autres pays ne sont pas aussi intégrées ?
#3
Peut-être qu’elles n’ont pas reçu de plaintes et ne peuvent pas s’auto saisir ?
#4
Exact ! Ce sont les autorités qui le souhaitent et qui ont reçues des plaintes qui joignent l’autorité chef de file (là où l’entreprise est implantée)
#5
C’est un groupe de travail dirigé par la Lituanie (puisque pays d’établissement de Vinted UAB) et monté via le Comité Européen de protection des données (CEPD), auquel participe la France et la Pologne pour évaluer la conformité RGPD du service.
Le CEPD est, grosso merdo, le club européen des différents organismes de protection des données personnelles des Etats membres dont l’existence est prévue et encadrée par le RGPD. Son rôle est d’assurer l’application de celui-ci, mais aussi prévenir et détection les infractions et définir des directives générales applicables à tout l’UE en matière de politique de gestion des données personnelles. Il a donc aussi pour but d’assurer la cohérence de l’application du RGPD entre les différents organismes de protection des données personnelles et peut émettre des décisions contraignantes pour aller en ce sens.
Tel que je comprends dans le cas présent, les trois pays se sont regroupés pour étudier le cas de Vinted UAD avant de produire une décision qui pourrait valoir à l’échelle de l’UE.
#6
ahh ca sert le dépot de plainte à la cnil :), vinted a refusé de supprimer mes informations bancaire et autres suite a un blocage de mon compte, en précisant que je pouvais me rapprocher de la cnil si je voulais nous en s’en fou :) (je résume leur mail) .
bon beh plainte à la cnil avec leur réponse en copie d’ecran, je me demandais si cela aller plus loin que cela. faut croire que je n’etais pas tous seul a avoir des grief contre eux.
ca va leur faire du bien une petite amende, après pourquoi je suis bloqué ? je ne sais pas mais bon je suis plus inquiet des informations qu’il refuse de supprimer
#6.1
Si le délai légal de conservation est dépassé oui.
Mais là on parlerait plus de recel si ils se font cintrer par plus grande armoire à glaces qu’eux.
Reste à voir aussi comment les banques et companies d’assurance dorment la nuit. A priori ils doivent s’endormir vite avec tous ces moutons à tondre…