Vinted sanctionné 2,38 M€ par la CNIL : vos droits de vendeur en 2026

En bref

Le 2 juillet 2024, l’autorité lituanienne (VDAI) — chef de file en coopération avec la CNIL et l’autorité polonaise — a sanctionné Vinted UAB de 2 385 276 €.
Trois manquements RGPD : refus systématique des demandes d’effacement (art. 17), pratique du shadow ban illégal sans information préalable, non-respect du droit d’accès (art. 15). Articles RGPD invoqués : 5, 6 et 12.
En 2026, un vendeur Vinted a trois droits opposables : droit d’accès à ses données (art. 15), droit à l’effacement (art. 17), droit à l’information sur les blocages de compte et leur durée (art. 12).
En cas de manquement, la plainte CNIL via formulaire en ligne reste le recours premier — la sanction Vinted de 2024 confirme que l’autorité tranche bien sur ce type de signalement.

Trois ans d’enquête multi-autorités ont précédé la décision. Ouverte en novembre 2021 après une vague de plaintes en France, en Pologne et au Luxembourg, la procédure visait initialement la demande de carte d’identité scannée pour débloquer les fonds de vente. Elle s’est élargie, et a finalement abouti en juillet 2024 sur trois griefs très opérationnels pour quiconque vend ou a vendu sur la plateforme. La sanction est mineure à l’échelle des amendes RGPD (2,38 M€ contre 325 M€ pour la plus grosse sanction CNIL 2025), mais elle pose une jurisprudence nette sur ce qu’une marketplace de seconde main peut et ne peut pas faire avec les données et les comptes de ses vendeurs.

Ce que la VDAI et la CNIL ont précisément reproché à Vinted

La décision du 2 juillet 2024 retient trois manquements distincts, chacun appuyé sur un article RGPD précis.

Traitement déloyal des demandes d’effacement (article 17)

La VDAI relève un refus systématique des demandes d’effacement adressées par les utilisateurs, fondé sur l’absence de mention par le demandeur des critères RGPD permettant l’effacement. Concrètement : Vinted rejetait les demandes au motif que l’utilisateur n’avait pas indiqué le bon article du RGPD. La décision rappelle que c’est au responsable de traitement — pas à l’utilisateur — de qualifier juridiquement la demande, et que les refus doivent être motivés de manière complète et compréhensible.

Shadow ban illégal sans information préalable

C’est le grief le plus marquant pour les vendeurs. La VDAI qualifie le « bannissement furtif » comme la pratique consistant à rendre invisible aux autres utilisateurs l’activité d’un compte (annonces non affichées en recherche, messages non délivrés, profil inaccessible) sans informer l’utilisateur concerné. La décision relève deux problèmes :

Discriminations sans cause juridique connue entre utilisateurs traités différemment sans information préalable.
Privation d’accès au service client pour le compte furtivement banni, qui ne peut donc pas faire valoir ses droits.

Cette pratique est jugée contraire aux articles 5 (loyauté du traitement) et 12 (transparence des informations).

Non-respect du droit d’accès (article 15)

Vinted n’a pu prouver, lors de l’enquête, qu’elle répondait correctement aux demandes d’accès aux données émises par les utilisateurs. L’article 15 du RGPD impose une réponse complète, sous un mois (article 12), incluant copies des données traitées, finalités, durées de conservation et destinataires.

Le contexte 2021-2024 : trois ans d’enquête multi-autorité

Trois ans plus tôt, le 18 novembre 2021, la CNIL publiait un communiqué annonçant que « les autorités […] ont tenu leur première réunion le 8 novembre dernier » et « ont décidé de coopérer pour contrôler la conformité du site au RGPD ». La VDAI lituanienne, désignée autorité chef de file parce que Vinted UAB est établie à Vilnius, animait alors la procédure aux côtés de la CNIL (France), de l’autorité polonaise de protection des données et du Comité européen de la protection des données (CEPD).

Le point de départ : un nombre significatif de plaintes contre le fonctionnement du site web, « qui exige l’envoi d’une copie numérisée de la carte d’identité afin de débloquer le montant des transactions ». Les contrôles ont porté sur la base légale associée à ce dispositif, la procédure et les critères pour bloquer un compte, ainsi que sur les durées de conservation des données.

Trois ans après, la sanction tombe — mais pas tout à fait sur le KYC d’origine. Le procédé KYC lui-même est encadré par la DSP2 (Directive sur les services de paiement n° 2) qui impose des vérifications d’identité au-delà de certains seuils. Ce sont les modalités (information de l’utilisateur, durée de conservation, droits RGPD adossés) qui ont été jugées défaillantes.

Vos trois droits opposables en tant que vendeur Vinted en 2026

La décision crée une base solide pour faire valoir des droits concrets. Trois articles du RGPD à retenir, avec leurs conditions d’exercice.

Article RGPD	Droit	Modalité d’exercice	Délai légal
Article 15	Droit d’accès	Demande via paramètres compte, ou email privacy@vinted.com	1 mois
Article 17	Droit à l’effacement	Demande motivée même partiellement	1 mois
Article 12	Droit à l’information	Vinted doit motiver tout refus et expliquer toute restriction d’accès au compte	Sans délai

Ces trois droits sont opposables même si Vinted invoque un blocage de sécurité, un signalement DSP2 ou un litige en cours. La sanction de 2024 a tranché : un refus systématique ou une absence d’information est désormais clairement sanctionnable.

Pour les questions liées à la sécurité du compte au sens large (2FA, mot de passe, alertes piratage), on a tracé la marche à suivre dans le guide sécurisation compte Vinted 2026. Pour les litiges qui ne sont pas spécifiquement RGPD (livraison, paiement, qualité d’objet), c’est le parcours médiation dans notre article sur les recours litige Vinted qui s’applique.

Si vous êtes shadow-banné en 2026 : la marche à suivre

Le scénario reste fréquent malgré la sanction. Trois étapes, dans l’ordre :

Étape 1 — Demande explicite à Vinted (privacy@vinted.com)

Adresser par email un droit à l’information complet :

Confirmer si le compte fait l’objet d’une restriction (visibilité réduite, blocage messages).
Demander la base légale précise du blocage (CGU, signalement utilisateur, alerte DSP2).
Demander la durée de la restriction et les conditions de levée.
Demander une copie des données qui ont motivé la décision.

Joindre une copie de pièce d’identité, garder la trace email avec horodatage.

Étape 2 — Plainte CNIL via formulaire en ligne

Faute de réponse satisfaisante sous 30 jours, déposer une plainte via le service en ligne de la CNIL. Le bilan 2025 confirme que c’est un vrai recours : sur 259 décisions, 14 organisations ont été sanctionnées spécifiquement pour non-respect des droits utilisateurs (effacement, opposition, accès) — la même catégorie qui a touché Vinted en 2024.

Étape 3 — Médiateur consommation ou tribunal

Si la pratique persiste après mise en demeure CNIL, deux voies : le médiateur de la consommation pour préjudice contractuel, ou la voie judiciaire pour réparation du dommage. Les CGU Vinted prévoient un mécanisme de médiation préalable que les CGU listent dans la section « Litiges » des conditions d’utilisation.

C’est aussi la voie qui s’applique si vous combinez un manquement RGPD avec un défaut de protection consommateur — par exemple, un blocage de compte qui empêche d’exercer le droit de rétractation prévu par la nouvelle obligation du 19 juin 2026 sur les marketplaces (cf. notre dossier sur le bouton de rétractation).

Plus large : où en est la CNIL en 2025 sur les marketplaces

Le bilan 2025 publié par la CNIL en début 2026 montre une activité régulatrice forte mais peu focalisée sur les marketplaces de seconde main :

Les 259 décisions prises en 2025 se répartissent entre 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Les motifs récurrents restent les cookies et traceurs (21 sanctions), la vidéosurveillance des salariés (16), la sécurité des données (14), la non-coopération (14), et le non-respect des droits utilisateurs (14). C’est dans cette dernière catégorie que se situait la sanction Vinted de 2024 et que se situeront, statistiquement, les prochaines décisions visant des marketplaces. La régulation est lente mais constante, et le précédent Vinted est cité dans plusieurs avis CNIL ultérieurs.

Trois enseignements pour le vendeur Vinted en 2026

Documenter par écrit toute restriction de compte. Capture d’écran de l’erreur, dates, contenu exact des messages Vinted, échanges email — tout doit être archivé pour une plainte CNIL ultérieure.
Connaître les trois articles clés : 12 (transparence), 15 (accès) et 17 (effacement). Les citer dans une demande la rend plus difficile à refuser, comme l’a montré la sanction de 2024.
Distinguer le KYC légitime (DSP2) du shadow ban illégal. Un blocage temporaire pour vérification d’identité est légal sous conditions ; un masquage furtif sans information ne l’est pas, et c’est le second cas qui doit déclencher la plainte.

FAQ

Comment exercer mon droit d’accès aux données que Vinted détient sur moi ?

L’article 15 du RGPD vous donne droit, gratuitement, à : la confirmation que vos données sont traitées, une copie de ces données, l’information sur les finalités du traitement, les destinataires et la durée de conservation. La demande s’envoie via le formulaire « Demande d’accès » dans les paramètres de votre compte Vinted, ou par email à privacy@vinted.com avec une copie de pièce d’identité. Vinted doit répondre dans un délai d’un mois (article 12 RGPD). Si la réponse est partielle, refusée ou tarde au-delà du délai, vous pouvez saisir la CNIL via son formulaire de plainte en ligne — c’est précisément ce manquement qui a coûté 2,38 M€ à Vinted en juillet 2024.

Si j’ai été shadow-banné sur Vinted, quels sont mes recours en 2026 ?

Le bannissement furtif (shadow ban) consiste à rendre votre activité invisible aux autres utilisateurs sans vous en informer. La VDAI et la CNIL ont qualifié cette pratique d’illégale dans la sanction du 2 juillet 2024, notamment parce qu’elle empêche l’accès au service client. Trois étapes en 2026 : 1) Demander explicitement à Vinted la base légale du blocage via privacy@vinted.com ; 2) Faute de réponse satisfaisante sous 30 jours, déposer plainte auprès de la CNIL ; 3) Si la pratique persiste après mise en demeure, vous pouvez saisir le médiateur de la consommation ou le juge judiciaire pour préjudice.

Vinted peut-il encore me demander une copie de ma carte d’identité pour débloquer mes fonds ?

Oui, mais sous conditions strictes. La demande de scan de carte d’identité est encadrée par la directive européenne sur les services de paiement (DSP2) et les obligations anti-blanchiment qui s’imposent au prestataire de paiement de Vinted. La CNIL avait initialement contesté cette pratique en 2021 — l’enquête a finalement abouti à une sanction non pas sur le KYC lui-même, mais sur la gestion défaillante des droits RGPD associés (information, durée de conservation, finalités). Donc en 2026 : Vinted peut légitimement demander vos justificatifs au-delà d’un certain volume de transactions ; il doit en revanche vous expliquer pourquoi, combien de temps les pièces sont conservées et comment les faire supprimer.

Sources primaires

CNIL — Marché en ligne : sanction de 2,3 M€ à l'encontre de Vinted

CNIL — Les pratiques de Vinted contrôlées par les autorités européennes (2021)

CNIL — Bilan sanctions et mesures correctrices 2025

Vinted — Conditions générales d'utilisation