Amende RGPD à Vinted : Retour sur le pouvoir de sanction de la CNIL
Le 2 juillet 2024, l’autorité lituanienne de protection des données, en coopération avec la CNIL, a prononcé une amende de 2,3 millions d’euros à l’encontre de la société Vinted pour plusieurs manquements au RGPD.
En effet, depuis 2020, Vinted a été confrontée à un nombre significatif de plaintes auprès de la CNIL, principalement centrées sur les difficultés rencontrées par les utilisateurs pour exercer leur droit à l’effacement (ou « suppression ») des données personnelles. En l’espèce, l’autorité lituanienne était compétente pour mener les enquêtes sur ce dossier (Vinted ayant son siège social en Lituanie).
Le pouvoir de sanction de la CNIL
Les sanctions pécuniaires prévues par le RGPD peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise. En 2023, la CNIL a prononcé un total de 42 sanctions, pour un montant global de 89 179 500 euros, dont 14 ont été rendues publiques.
La CNIL peut engager deux types de procédures de sanction : ordinaire et simplifiée. La procédure ordinaire, menée par la formation restreinte de la CNIL, peut aboutir à diverses sanctions (rappel à l’ordre, limitation temporaire ou définitive du traitement, suspension des flux de données, etc). La procédure simplifiée, utilisée pour les cas peu complexes ou de faible gravité, permet au président de la formation restreinte de prononcer seul les sanctions (rappel à l’ordre, injonction assortie d’une astreinte, amende administrative).
Soucieux de vous mettre en conformité avec la législation applicable en matière de protection des données ? Venez découvrir les solutions et la méthodologie du réseau national Agence RGPD !
