Ce que les marketplaces collectent sur vous
Chaque inscription, annonce publiée et transaction génère des données personnelles. Les marketplaces d’occasion comme Vinted, Leboncoin et Vestiaire Collective collectent et traitent un volume important d’informations :
- Données d’identité : nom, prénom, date de naissance, adresse, pièce d’identité (KYC)
- Données financières : coordonnées bancaires (IBAN), historique de transactions, montants
- Données comportementales : historique de navigation, recherches, articles consultés, fréquence de connexion
- Données de communication : messages échangés avec les acheteurs/vendeurs
- Données techniques : adresse IP, type d’appareil, géolocalisation
En 2026, la CNIL a intensifié ses contrôles sur les pratiques des grandes plateformes. Un contrôle coordonné mené avec les autorités lituanienne et polonaise a porté spécifiquement sur Vinted, examinant la base légale du KYC, les critères de blocage de compte et les durées de conservation des données.
Vos 6 droits RGPD face aux marketplaces
Le Règlement Général sur la Protection des Données (RGPD) vous accorde six droits fondamentaux que toute marketplace opérant en France doit respecter.
1. Droit d’accès (article 15 RGPD)
Vous pouvez demander à toute marketplace la liste complète des données personnelles qu’elle détient sur vous. La plateforme dispose d’un mois maximum pour vous fournir une copie dans un format lisible. Ce délai peut être prolongé de deux mois supplémentaires si la demande est complexe, mais vous devez en être informé dans le premier mois.
2. Droit de rectification (article 16 RGPD)
Si vos données sont inexactes ou incomplètes, vous pouvez exiger leur correction. Cela concerne notamment les erreurs d’adresse, de nom ou de coordonnées bancaires.
3. Droit à l’effacement (article 17 RGPD)
Vous pouvez demander la suppression de vos données personnelles. La marketplace a un mois pour s’exécuter. Toutefois, certaines données sont conservées au-delà de la suppression de votre compte pour des raisons légales :
- Données KYC (pièces d’identité) : conservées jusqu’à 10 ans par le prestataire de paiement (Mangopay pour Vinted) en vertu de la directive anti-blanchiment AMLD5
- Données fiscales (DAC7) : transmises aux autorités fiscales et conservées selon les délais de prescription fiscale
- Données comptables : conservées 10 ans pour obligation comptable
Pour comprendre les enjeux fiscaux, consultez notre guide sur le piège DAC7 pour les vendeurs.
4. Droit à la portabilité (article 20 RGPD)
Vous pouvez demander à recevoir vos données dans un format structuré et lisible par machine (CSV, JSON) pour les transférer vers un autre service. Ce droit est particulièrement utile si vous changez de marketplace et souhaitez conserver votre historique.
5. Droit d’opposition (article 21 RGPD)
Vous pouvez vous opposer à certains traitements de vos données, notamment :
- La prospection commerciale (emails marketing, notifications push promotionnelles)
- Le profilage à des fins publicitaires
- La transmission de vos données à des partenaires commerciaux
La CNIL rappelle que les données des clients qui se sont opposés à leur transmission doivent être supprimées du fichier avant toute cession à un tiers.
6. Droit à la limitation du traitement (article 18 RGPD)
En cas de litige sur l’exactitude de vos données ou la légalité du traitement, vous pouvez demander que la marketplace gèle temporairement l’utilisation de vos données pendant la vérification.
Comment exercer vos droits : guide pratique par plateforme
Sur Vinted
- Rendez-vous dans Paramètres > Confidentialité
- Utilisez l’option « Télécharger mes données » pour exercer votre droit d’accès
- Pour la suppression, contactez le DPO via le formulaire dans la politique de confidentialité
- Délai constaté : 2 à 4 semaines pour une réponse complète
Pour sécuriser votre compte en attendant, consultez notre guide sur la sécurité du compte Vinted.
Sur Leboncoin
- Accédez à Mon compte > Paramètres > Données personnelles
- Leboncoin propose un formulaire dédié pour les demandes RGPD
- Pour la suppression du compte, la procédure est accessible dans les paramètres
- Délai constaté : 1 à 3 semaines
Sur Vestiaire Collective
- Contactez le DPO à l’adresse indiquée dans la politique de confidentialité
- Vestiaire Collective traite les demandes via un système de tickets
- Les données liées à l’authentification peuvent être conservées plus longtemps
- Délai constaté : 2 à 4 semaines
Les sanctions CNIL contre les marketplaces
La CNIL et ses homologues européens ont déjà sanctionné des plateformes d’occasion pour non-respect du RGPD. Le cas le plus notable en 2025-2026 concerne Vinted, sanctionnée de 2,3 millions d’euros par la CNIL lituanienne pour la pratique du « shadow blocking » : des comptes d’utilisateurs étaient invisibilisés sans notification claire ni possibilité de recours immédiat.
Cette amende illustre un point clé : les marketplaces doivent informer les utilisateurs de toute restriction appliquée à leur compte et fournir un mécanisme de contestation. Si vous constatez une baisse soudaine de visibilité de vos annonces sans explication, vous êtes en droit de demander des explications à la plateforme.
Durées de conservation : ce que chaque plateforme garde et combien de temps
| Type de données | Durée de conservation | Base légale |
|---|---|---|
| Données de compte (profil, préférences) | Jusqu’à suppression du compte + 3 mois | Contrat |
| Données KYC (pièce d’identité) | 10 ans après clôture (Mangopay/AMLD5) | Obligation légale |
| Historique de transactions | 10 ans (obligation comptable) | Obligation légale |
| Données DAC7 (déclarations fiscales) | Transmises aux impôts, conservées selon prescription fiscale | Obligation légale |
| Messages vendeur-acheteur | Variable (1-3 ans selon plateforme) | Intérêt légitime |
| Données de navigation/cookies | 13 mois maximum (recommandation CNIL) | Consentement |
| Données marketing/profilage | Jusqu’à opposition ou 3 ans après dernier contact | Intérêt légitime |
Que faire si la plateforme ne répond pas
Étape 1 : relancer la plateforme
Renvoyez votre demande en recommandé avec accusé de réception, en citant les articles RGPD applicables et le délai légal d’un mois.
Étape 2 : saisir la CNIL
Si la plateforme ne répond pas dans le délai d’un mois (ou deux mois si la prolongation a été notifiée), vous pouvez déposer une plainte en ligne sur cnil.fr. La CNIL instruit les plaintes et peut imposer des amendes allant jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros.
Étape 3 : action en justice
En dernier recours, le RGPD vous permet de saisir le tribunal judiciaire pour obtenir réparation d’un préjudice lié au non-respect de vos droits. Des associations de consommateurs peuvent aussi agir en action de groupe.
FAQ
Puis-je demander la suppression totale de mes données sur Vinted ?
Vous pouvez demander la suppression de votre compte et de la plupart de vos données. Cependant, les données KYC (pièces d’identité) sont conservées 10 ans par Mangopay en vertu de la directive anti-blanchiment, et les données fiscales DAC7 sont transmises aux autorités. Ces conservations reposent sur une obligation légale et ne peuvent pas être supprimées sur simple demande.
La CNIL peut-elle intervenir si Vinted bloque mon compte sans raison ?
Oui. La sanction de 2,3 millions d’euros contre Vinted pour « shadow blocking » a démontré que la CNIL (via ses homologues européens) sanctionne les restrictions de compte non transparentes. Si votre compte est bloqué sans notification claire, contactez d’abord le support Vinted, puis saisissez la CNIL si la réponse est insatisfaisante ou absente.
Combien de temps une marketplace garde-t-elle mes données après suppression du compte ?
Les données de profil sont généralement supprimées sous 3 mois. Les données financières et KYC sont conservées 10 ans (obligation légale anti-blanchiment et comptable). Les cookies et données de navigation expirent au maximum 13 mois après le dernier consentement, conformément aux recommandations de la CNIL.