Cet article est une contribution de Maître Hee-chul Ahn du cabinet DLG. Si vous souhaitez partager du contenu de qualité destiné aux startups, veuillez contacter l'équipe éditoriale de Venture Square à l' adresse editor@venturesquare.net .
[ Questions juridiques à Anbyeon] Fuite de données personnelles chez Coupang : responsabilité de l’entreprise et droits des consommateurs
J'ai reçu un message de Coupang, mon service client habituel, m'informant que toutes mes informations personnelles avaient été compromises. Ils prétendent même que le mot de passe de l'interphone de mon immeuble a fuité. C'est incroyable.
Ces dernières années, une série de fuites massives de données personnelles, notamment au sein de grandes entreprises coréennes, ont suscité des inquiétudes quant à la solidité du système de protection des données personnelles en Corée. Après les violations de données chez les trois principaux opérateurs de télécommunications du pays – SKT, KT et LG Uplus – Coupang aurait subi une importante fuite de données clients. Si les violations de données étaient auparavant considérées comme touchant principalement les institutions financières et les grands opérateurs de télécommunications, ce dernier incident démontre clairement que les plateformes numériques ne sont plus à l'abri des problèmes de confidentialité. Coupang, plateforme de commerce électronique leader qui détient et traite depuis longtemps les données de dizaines de millions de clients, est confrontée à un problème d'une ampleur et d'un impact considérables, comparé aux incidents précédents.
Concernant la fuite de données personnelles chez Coupang, environ 33,7 millions de comptes clients ont été compromis, incluant les noms, numéros de téléphone, adresses électroniques, adresses de livraison et informations de commande. Coupang affirme pourtant avoir ignoré la fuite pendant plus de cinq mois. Selon son communiqué, l'entreprise a pris connaissance de la fuite le 19 novembre 2025 et a déposé une première plainte auprès de la Commission de protection des données personnelles le 20 novembre. Face à l'aggravation de la situation, le gouvernement a pris l'affaire au sérieux et a convoqué une réunion d'urgence présidée par le ministre des Sciences et des TIC. Une équipe d'enquête conjointe public-privé a également été mise en place le 30 novembre afin de préparer d'urgence des contre-mesures. D'après les éléments confirmés à ce jour, cette fuite de données personnelles semble être due à une fuite interne, contrairement aux attaques informatiques survenues chez les trois principaux opérateurs de télécommunications.
Dans ce contexte, il est essentiel de consulter la loi sur la protection des données personnelles et les autres lois relatives aux données personnelles afin de déterminer les mesures mises en place pour prévenir les fuites de données et minimiser les dommages qu'elles occasionnent. La loi sur la protection des données personnelles définit les entités qui traitent des données personnelles à des fins commerciales comme des « responsables du traitement » et leur impose l'obligation de prendre des mesures techniques, organisationnelles et physiques pour prévenir la perte, le vol, la fuite, la falsification, l'altération ou la détérioration des données personnelles. Cette obligation s'applique à toutes les entreprises, quelle que soit leur taille ou le volume de données personnelles qu'elles détiennent. Elle concerne non seulement les entreprises disposant d'importants volumes de données comme Coupang, mais aussi les jeunes entreprises gérant les informations de quelques dizaines de clients et les PME traitant uniquement des informations internes relatives au personnel. L'obligation de prendre des mesures de sécurité, telle que stipulée à l'article 29 de la loi sur la protection des données personnelles, est une norme fondamentale à laquelle toutes les entreprises doivent se conformer dès lors qu'elles traitent des données personnelles.
Trois points essentiels sont à considérer concernant la récente fuite de données personnelles chez Coupang. Premièrement, Coupang a-t-elle correctement mis en œuvre les mesures de sécurité obligatoires ? Cela inclut non seulement les mesures techniques, mais aussi les mesures administratives et physiques, telles que la gestion interne du personnel, le contrôle d'accès et la gestion des journaux d'activité. Deuxièmement, Coupang a-t-elle scrupuleusement respecté les obligations légales en matière de réponse immédiate, notamment en informant ses clients et en signalant la fuite à la Commission de protection des données personnelles ou à l'Agence coréenne de sécurité Internet dans les 72 heures suivant sa découverte ? Troisièmement, les mesures prises ont-elles été suffisantes et rapides pour minimiser les préjudices subis par les clients ? L'entreprise a-t-elle communiqué de manière transparente sur les mesures mises en place pour éviter toute récidive ? Pour les grandes plateformes comme Coupang, compte tenu de leur impact considérable sur la confiance du public, il est essentiel de prendre des mesures proactives allant au-delà des exigences légales minimales.
La première obligation légale applicable en cas de fuite de données personnelles est l'obligation de notification prévue à l'article 34 de la loi sur la protection des données personnelles. Cette obligation impose aux entreprises d'informer la personne concernée de la fuite dans les 72 heures suivant sa découverte, même s'il ne s'agit que d'une seule personne. Pour les grandes entreprises comme Coupang, où le nombre de personnes concernées par la fuite peut atteindre plusieurs millions, voire plusieurs dizaines de millions, la notification individuelle peut s'avérer techniquement complexe. Toutefois, même dans ce cas, la loi sur la protection des données personnelles stipule que les entreprises doivent d'abord informer les personnes concernées par le biais d'une annonce sur leur site web ou par tout autre moyen, puis continuer à leur envoyer des notifications individuelles supplémentaires dans la mesure du possible. Même si les détails, la date ou les circonstances de la fuite ne sont pas encore clairement identifiés, les entreprises doivent d'abord informer les personnes concernées dans la mesure du possible, puis leur envoyer des notifications supplémentaires au fur et à mesure que des informations sont disponibles.
Parallèlement, les responsables du traitement des données personnelles ont également une obligation de déclaration. En tant que responsables du traitement des données personnelles, les entreprises doivent signaler à la Commission de protection des données personnelles ou à l'Agence coréenne de sécurité Internet (KISA), dans un délai de 72 heures, toute fuite de données personnelles concernant 1 000 personnes ou plus, des données sensibles (telles que des données de santé) présentant un risque important d'atteinte à la vie privée des personnes concernées, des identifiants uniques (tels que des numéros de carte de résident ou des numéros de passeport), ou toute fuite résultant d'attaques externes telles que le piratage informatique. Ce signalement, à l'instar de la notification, doit inclure les détails de la fuite, les circonstances de celle-ci et les mesures prises.
Coupang fera vraisemblablement l'objet d'un examen rigoureux afin de déterminer si elle a respecté toutes ses obligations légales. Si elle est reconnue coupable d'avoir enfreint ses mesures de sécurité ou ses obligations de notification et de déclaration, sa responsabilité juridique pourrait être très lourde. La Commission de protection des données personnelles peut infliger des amendes allant jusqu'à 3 % du chiffre d'affaires total aux entreprises qui ne respectent pas les mesures de sécurité, ce qui représente une charge considérable pour une entreprise comme Coupang, dont le chiffre d'affaires annuel se chiffre en billions de wons. Lors de la précédente fuite de données personnelles chez SKT, la Commission avait infligé une amende de 134,7 milliards de wons (environ 139 millions de dollars américains) à SKT. Cependant, cet incident représente non seulement une fuite de données personnelles d'une ampleur bien supérieure à celle de SKT, mais aussi un degré de responsabilité plus élevé, car il a été commis par un employé de Coupang. Par conséquent, il est difficile d'exclure la possibilité d'une amende encore plus importante.
Par ailleurs, en cas de fuite de données personnelles, l'entreprise peut être tenue civilement responsable du préjudice subi par la personne concernée. Si la dissimulation intentionnelle ou la fausse déclaration sont avérées, sa responsabilité pénale peut également être engagée. Il convient de noter que l'article 39 de la loi sur la protection des données personnelles stipule : « Si une personne concernée subit un préjudice du fait d'un acte commis par un responsable du traitement des données personnelles en violation de la présente loi, ce responsable peut réclamer réparation. Dans ce cas, il ne peut se soustraire à sa responsabilité que s'il prouve l'absence de faute intentionnelle ou de négligence. » Par conséquent, ce n'est pas à la personne concernée qui doit prouver la faute intentionnelle ou la négligence du responsable du traitement, mais à ce dernier de prouver l'absence de faute intentionnelle ou de négligence de sa part. En d'autres termes, au regard des dispositions de la loi sur la protection des données personnelles, Coupang doit fournir des preuves détaillées concernant ses systèmes de sécurité, la mise en œuvre adéquate des contrôles d'accès, le bon fonctionnement du système de détection des fuites et la pertinence de la gestion des droits d'accès de ses employés.
De plus, en vertu de l'article 39-2 de la loi sur la protection des données personnelles, les victimes peuvent désormais réclamer des dommages et intérêts légaux jusqu'à 3 millions de wons sans avoir à prouver la négligence de l'entreprise. Ceci renforce considérablement leurs droits. Cependant, étant donné que les dommages et intérêts accordés dans les affaires précédentes de fuite de données personnelles s'élevaient généralement à environ 100 000 wons, l'intérêt pratique d'intenter une action en justice reste faible pour les victimes individuelles. Par exemple, lors du piratage des données personnelles de Modutour en 2024, le tribunal du district central de Séoul a condamné chaque victime à verser 100 000 wons de dommages et intérêts en août 2025, et lors de la fuite de données personnelles d'Interpark en 2016, un accord a été conclu prévoyant l'octroi de 10 000 wons à chaque victime.
L'incident Coupang offre un enseignement clair, non seulement pour les grandes plateformes, mais aussi pour les startups. La protection des données personnelles n'est pas une simple obligation légale, mais une stratégie de survie pour toute entreprise. Nombre de startups font construire leurs serveurs en interne par quelques développeurs, sans même tenir de registres d'accès aux données personnelles. Or, dès lors qu'elles traitent des données personnelles, elles sont soumises aux mêmes obligations légales que les grandes entreprises, quelle que soit leur taille. Le chiffrement, les droits d'accès minimaux, les formations régulières à la sécurité et l'obligation de superviser et de gérer les prestataires externes ne leur font pas exception. Les fuites de données personnelles ne constituent pas seulement un problème technique, mais aussi un enjeu de confiance juridique et sociale. Les clients confient leurs informations aux entreprises, se fiant à leur expertise et à leurs mesures de sécurité. Lorsque cette confiance est rompue, la valeur de la marque et la compétitivité de l'entreprise sont gravement compromises. L'incident Coupang illustre une fois de plus cette réalité et constitue un avertissement crucial pour les entreprises comme pour les consommateurs.
Parallèlement, avec les progrès technologiques, la lutte entre les mesures de sécurité et les cyberattaques s'intensifie. Dans ce contexte, les pouvoirs publics doivent adopter une approche plus stratégique. Conscients que plus les mesures de sécurité sont efficaces, plus le risque de piratage est élevé, voire inévitable, ils doivent imposer des amendes et des sanctions sévères en cas de fuite de données personnelles due à la négligence des entreprises. Toutefois, ils doivent également atténuer les sanctions pour les mesures proactives prises afin de prévenir tout dommage ultérieur. En d'autres termes, les pouvoirs publics doivent sanctionner les fuites et encourager la prévention, garantissant ainsi une protection maximale des données personnelles de chaque personne concernée.
Demande de renseignements
Avocat Heechul Ahn 010-9135-4773 / heechul.an@dlglaw.co.kr
Simharu, responsable principale, équipe marketing et relations publiques 010-9458-6068 / ru.sim@dlglaw.co.kr
You must be logged in to post a comment.