Sanctions RGPD : Vinted et Uber condamnées pour non-respect de la protection des données personnelles

Le 2 juillet 2024, la société Vinted UAB a été sanctionnée par l'autorité de protection des données lituanienne à une amende de 2,3 millions d’euros pour plusieurs violations du Règlement général sur la protection des données (RGPD).

Vinted a été reconnue coupable de ne pas avoir respecté les droits des utilisateurs en matière de demande d’effacement des données.

L'entreprise refusait les demandes qui ne mentionnaient pas explicitement les motifs de l’article 17 du RGPD. Cependant, cet article exige simplement que ces motifs existent, sans que les utilisateurs soient tenus de les mentionner précisément. Vinted aurait dû les demander avant de refuser.

Vinted utilisait une technique appelée bannissement furtif, rendant invisibles les actions de certains utilisateurs malveillants, sans les en informer. Cela viole les principes de transparence et de loyauté, empêchant ainsi les utilisateurs d'exercer leurs droits en toute connaissance de cause.

Le principe d’accountability oblige les entreprises à pouvoir démontrer leur conformité au RGPD. Vinted n’a pas réussi à prouver qu’elle avait correctement répondu aux demandes d’accès aux données des utilisateurs.

Cette condamnation illustre la nécessité d’une stricte conformité aux règles du RGPD et met en lumière l’importance des obligations relatives aux droits des utilisateurs.

Le 22 juillet 2024, les sociétés Uber B.V. et Uber Technologies Inc. ont été condamnées à une amende record de 290 millions d’euros par l’autorité néerlandaise de protection des données. La cause principale : les transferts de données personnelles vers les États-Unis entre le 6 août 2021 et le 21 novembre 2023, jugés non conformes aux exigences du RGPD.

Uber Technologies Inc., basée à San Francisco, et Uber B.V., basée aux Pays-Bas, ont transféré des données personnelles des utilisateurs et des chauffeurs aux États-Unis sans adopter de mesures de protection suffisantes, contrairement aux exigences de l'article 44 du RGPD.

Le transfert de données hors de l’Union européenne doit respecter les conditions établies dans le Chapitre 5 du RGPD, visant à assurer un niveau de protection adéquat des données. Bien que les États-Unis soient maintenant considérés comme offrant un niveau de protection équivalent à l’UE (suite à une décision d’adéquation de la Commission européenne du 21 novembre 2023), cette couverture ne s’appliquait pas avant cette date.

Uber a contesté cette décision en argumentant que la décision d’adéquation de juillet 2023 prouvait déjà que les États-Unis offraient un niveau de protection suffisant avant même son adoption officielle. Cependant, les autorités ont maintenu que les manquements constatés étaient valides pour la période antérieure à la décision.

Ces décisions marquantes mettent en lumière la rigueur avec laquelle les autorités de protection des données, y compris la CNIL, appliquent le RGPD. Elles rappellent également aux entreprises l'importance de se conformer aux exigences du règlement, notamment en ce qui concerne les droits des utilisateurs et les transferts internationaux de données.

Pour se conformer pleinement au RGPD, il est crucial pour les entreprises de :

• Répondre rapidement et correctement aux demandes des utilisateurs concernant leurs données.
• Garantir la transparence et la loyauté dans leurs pratiques.
• Assurer la sécurité des transferts internationaux de données, notamment en dehors de l'UE.