Vous vendez et achetez sur Vinted depuis trois ans, sans incident. Un matin, vous recevez un mail « Vinted » qui vous notifie une connexion depuis Lituanie, puis un retrait de votre portefeuille. Cinq minutes plus tard, votre mot de passe est invalide, vos coordonnées bancaires ont été modifiées, et trois nouvelles annonces sont apparues sur votre profil — des téléphones à 600 € que vous ne possédez pas. Cette séquence, documentée par des centaines d’utilisateurs en 2025-2026, est presque toujours évitable avec trois mesures préventives qui prennent moins de 10 minutes à activer. Voici lesquelles, et que faire si c’est trop tard.
La 2-step verification Vinted : la mesure qui bloque 99 % des piratages
Vinted propose une double authentification par SMS depuis fin 2024, documentée sur la page d’aide 583. Le principe : à chaque connexion depuis un nouvel appareil, Vinted envoie un code à 6 chiffres sur votre téléphone, à saisir en plus de votre mot de passe.
Activation pas-à-pas en 2026 :
- Ouvrez l’app Vinted (ou le site).
- Profil → Paramètres → Sécurité.
- Activez « Vérification en 2 étapes » (
2-step verification). - Saisissez votre numéro de téléphone (FR portable préféré).
- Validez le code reçu par SMS.
- Notez vos codes de récupération dans un endroit sûr (gestionnaire de mots de passe ou papier dans un tiroir).
Limites à connaître :
- SMS uniquement, pas d’app authenticator (Google Authenticator, Authy) en avril 2026. C’est moins fort qu’un TOTP, mais c’est déjà 99 % des piratages bloqués.
- Vulnérabilité SIM swap : si un attaquant convainc votre opérateur de transférer votre numéro sur sa propre carte SIM, il peut intercepter les SMS. Pour les comptes à fort enjeu (vendeur Pro, gros chiffre d’affaires), demandez à votre opérateur l’activation d’un code PIN portage avant tout transfert.
- Pas de 2FA sur les retraits : à la date de cet article, Vinted ne demande pas de 2FA pour transférer vos fonds vers votre compte bancaire — angle mort connu de la cybersécurité Vinted, à compenser par mot de passe robuste + alerte mail compte.
Les données visibles sur votre profil Vinted
Sans avoir besoin de vous parler, n’importe quel utilisateur Vinted accède à un certain volume de données vous concernant. Voici ce qui est visible publiquement par défaut, pour tout compte créé en 2026 :
| Donnée | Visible par tout utilisateur ? | Modifiable ? |
|---|---|---|
| Pseudo / nom d’usage | Oui | Oui (paramètres) |
| Photo de profil | Oui | Oui — recommandation : éviter selfie identifiable |
| Ville approchée (3-5 km) | Oui | Oui — peut être désactivée dans paramètres |
| Ancienneté du compte | Oui | Non |
| Note moyenne (étoiles) et nombre d’avis | Oui | Non — c’est l’historique cumulé |
| Articles en vente et vendus (passé) | Oui | Partiel — vous pouvez supprimer un article récent, pas les avis |
| Followers / abonnés | Oui | Privé via paramètres |
| Adresse postale | Non | — toujours masquée |
| Numéro de téléphone | Non | — toujours masqué |
| Nom légal et date de naissance | Non | — toujours masqués |
Bonnes pratiques pour réduire la surface :
- Pseudo neutre : évitez prénom + nom de famille en clair (
marie.durandest une cible plus facile quemode_chic_75). - Photo de profil non identifiable : un objet, une initiale, un graphique — pas votre selfie.
- Ville masquée : paramètres → confidentialité → désactiver l’affichage de la localisation. Vous restez localisable au moment de la vente (Mondial Relay le plus proche), mais votre profil ne révèle plus votre ville en permanence.
- Ne mettez jamais de RIB ou de coordonnées bancaires dans les messages avec un acheteur. Vinted n’en demande jamais en messagerie.
- Photos de produits sans arrière-plan personnel : un mur uni ou un drap blanc derrière. Pas votre cuisine reconnaissable, pas votre chambre. Géolocalisation EXIF désactivée sur les photos depuis votre téléphone.
Vos droits RGPD chez Vinted en 2026
Vinted a fait l’objet d’une sanction de 2 385 276 € prononcée le 2 juillet 2024 par l’autorité lituanienne de protection des données (Vinted UAB est domiciliée en Lituanie), en collaboration étroite avec la CNIL française. La décision répond à des plaintes accumulées depuis 2020 sur deux pratiques :
- Refus d’effacement non motivé : Vinted refusait des demandes RGPD d’effacement au seul motif que les utilisateurs ne citaient pas explicitement un des motifs prévus par le RGPD dans leur demande, ce qui est illégal.
- Shadow blocking : pratique consistant à invisibiliser certains utilisateurs sur la plateforme sans les en notifier ni offrir de recours direct. Confirmé par la CNIL lituanienne.
Vos droits concrets en 2026, validés par cette décision :
| Droit | Comment l’exercer | Délai de réponse |
|---|---|---|
| Droit d’accès (article 15 RGPD) | Demander à Vinted la copie de toutes vos données | 1 mois |
| Droit de rectification (article 16) | Corriger une donnée inexacte | 1 mois |
| Droit à l’effacement (article 17) | Demander la suppression — sans motif obligatoire | 1 mois |
| Droit de limitation (article 18) | Geler le traitement le temps d’une vérification | 1 mois |
| Droit d’opposition (article 21) | S’opposer au profilage publicitaire | 1 mois |
| Droit à la portabilité (article 20) | Récupérer vos données dans un format réutilisable | 1 mois |
Adresse pour exercer ces droits : le délégué à la protection des données (DPO) de Vinted, joignable via le formulaire dédié dans la page Privacy Policy. Si vous obtenez un refus non motivé ou pas de réponse sous un mois, plainte CNIL gratuite sur cnil.fr/fr/plaintes — c’est exactement ce mécanisme qui a déclenché la sanction de 2024.
Que faire si votre compte Vinted est piraté
Quatre étapes, dans l’ordre, sous 30 minutes :
1 — Reprenez la main sur le compte (ou bloquez-le)
- Tentez de vous reconnecter : si vous y parvenez, changez immédiatement votre mot de passe (un nouveau, unique, jamais utilisé ailleurs). Activez la 2-step verification dans la foulée.
- Si vous n’y parvenez pas : utilisez la fonction « Mot de passe oublié » avec votre adresse mail d’origine. Vinted envoie un lien de réinitialisation.
- Si l’attaquant a aussi changé votre mail de récupération : passez immédiatement à l’étape 3 (signalement Vinted) — vous ne pouvez plus reprendre la main seul.
2 — Bloquez les pertes financières
- Faites opposition à votre carte bancaire (numéro d’opposition de votre banque ou app de la banque).
- Signalez à votre banque toute transaction non autorisée : article L.133-19 du Code monétaire et financier impose le remboursement sous 1 jour ouvré par la banque pour toute opération de paiement non autorisée signalée dans les 13 mois.
- Vérifiez vos comptes liés (Apple Pay, Google Pay, PayPal) pour révoquer toute autorisation Vinted.
3 — Signalez à Vinted (DPO + Support)
- Support général : centre d’aide Vinted → « Contacte-nous » → décrivez le piratage avec captures d’écran (mails reçus, transactions non autorisées, mail de connexion suspecte).
- DPO Vinted : pour le contentieux RGPD (récupération de données, contestation), passez par le formulaire DPO sur la page Privacy Policy. Délai de réponse réglementaire : 1 mois maximum.
- Pas de réponse sous 1 mois : escalade CNIL.
4 — Plainte cybermalveillance et police
- Plainte cybermalveillance.gouv.fr : portail officiel d’orientation et d’accompagnement pour les victimes de cybermalveillance. Vous y trouvez la conduite à tenir + les acteurs locaux compétents.
- Plainte THESEE (Traitement Harmonisé des Enquêtes Et Signalements pour les E-escroqueries) : plateforme officielle pour porter plainte en ligne, gérée par la Police nationale et la Gendarmerie. Disponible 24/7, gratuit, traçable.
- Plainte au commissariat : si le préjudice dépasse 1 500 € ou si vous identifiez un réseau (plusieurs victimes du même profil), contactez la brigade financière de votre département.
Compte piraté → Étape 1 (reprendre/bloquer) → Étape 2 (opposition banque)
↓
Étape 3 (signaler Vinted + DPO)
↓
Étape 4 (cybermalveillance.gouv.fr + THESEE + police si > 1 500 €)Pour les arnaques liées à un faux mail Vinted ou à un lien de phishing reçu avant la prise de contrôle, voir aussi notre guide des 7 arnaques Vinted et Leboncoin 2026, qui détaille les techniques amont.
Les 6 règles de base à appliquer dès aujourd’hui
| # | Règle | Effet |
|---|---|---|
| 1 | Activer la 2-step verification | Bloque 99 % des prises de contrôle automatisées |
| 2 | Mot de passe unique, ≥ 16 caractères, dans un gestionnaire (Bitwarden, 1Password, Dashlane) | Évite les credential stuffing depuis fuite tierce |
| 3 | Pseudo et photo de profil non identifiants | Réduit la surface d’attaque sociale |
| 4 | Localisation masquée dans les paramètres | Réduit le ciblage géographique |
| 5 | Vérification des emails Vinted (@vinted.com uniquement, pas vinted-secure.fr) | Bloque le phishing |
| 6 | Aucun RIB ni code SMS jamais transmis hors app | Protection contre les arnaques côté vendeur (cf. arnaques Vinted Leboncoin 2026) |
FAQ
La 2FA Vinted fonctionne-t-elle avec une app authenticator ?
Pas en avril 2026. La 2-step verification Vinted utilise des SMS via le service Vonage (numéro de téléphone). Une migration vers TOTP (Google Authenticator, Authy) n’a pas été annoncée. Compromis : la sécurité est moins forte qu’un TOTP, mais elle est déjà bien au-dessus du simple mot de passe et bloque les attaques massives. Pour les comptes Vinted Pro à fort chiffre d’affaires, ajoutez un code PIN portage chez votre opérateur mobile pour bloquer les SIM swap.
Vinted peut-elle me refuser l’effacement de mes données si je n’invoque pas un motif RGPD ?
Non. La décision CNIL de juillet 2024 a explicitement sanctionné cette pratique. Vinted ne peut pas exiger que vous citiez l’un des six motifs prévus à l’article 17 du RGPD pour effacer vos données. Vous demandez l’effacement, Vinted répond sous 1 mois — soit en exécutant, soit en motivant un refus précis (par exemple : conservation pour obligation comptable). Si Vinted refuse sans justification recevable, plainte CNIL gratuite.
Combien de temps Vinted peut-elle conserver mes données après suppression du compte ?
Selon la Privacy Policy Vinted et le RGPD, la conservation post-effacement se justifie uniquement par des obligations légales : comptabilité (10 ans pour les opérations comptables), fiscalité (6 ans), DAC7 (jusqu’à 10 ans pour les transmissions à l’administration fiscale). Hors ces obligations, vos données doivent être effacées « dans un délai raisonnable » — interprété par la CNIL comme inférieur à 6 mois maximum. Si vous constatez que votre profil reste visible 1 an après une demande d’effacement, plainte CNIL.
Mon compte est bloqué « pour comportement suspect » sans explication, est-ce légal ?
Le shadow blocking sans notification a précisément été sanctionné par la CNIL lituanienne en 2024. Vinted doit vous notifier toute restriction et vous offrir un recours. Pour contester un blocage, écrivez au DPO via le formulaire Privacy Policy avec : justification d’identité, explication de votre situation, demande motivée de levée du blocage. Délai de réponse : 1 mois. Pas de réponse → CNIL. Pour le détail de la procédure, voir aussi protection acheteur Vinted 2026 qui couvre les recours médiation.
Pour les techniques de fraude qui précèdent le piratage (phishing, fausses pages de paiement), lisez notre guide des 7 arnaques Vinted et Leboncoin 2026. Pour comprendre comment réagir en litige acheteur après réception d’un article, voir Litige Vinted 2026 : médiation et recours. Et pour les frais et garanties offerts par Vinted, Protection acheteur Vinted 2026.
Note : les paramètres de sécurité Vinted évoluent ponctuellement. Vérifiez la page d’aide officielle 583 avant de configurer. En cas de doute, consultez aussi cnil.fr/fr/cybersecurite.