Cet article est une contribution de l'avocat Jaesik Moon du cabinet d'avocats Choi & Lee. Si vous souhaitez partager du contenu de qualité pour les startups sous forme de contribution, veuillez contacter l'équipe éditoriale de Venture Square à editor@venturesquare.net.
Le récent incident de fuite d'informations sur la carte SIM de SK Telecom (ci-après dénommé « SKT ») a choqué le public. Le fait que nos précieuses informations personnelles aient été divulguées à l’extérieur nous a causé de l’anxiété et de la colère. Surtout, nous n’avons aucune idée de l’endroit où sont passées les informations personnelles divulguées ni de l’usage qui en sera fait. Nous ne savons donc pas quels dommages pourraient nous être causés plus tard, et l’anxiété qui en résultera sera forcément encore plus grande.
Le fait que des informations personnelles aient été divulguées de cette manière signifie clairement que SKT était en faute. Dans cet épisode, nous examinerons si les utilisateurs peuvent réclamer une indemnisation auprès de SKT et quel montant d'indemnisation ils peuvent recevoir.
1. Demandes de dommages et intérêts fondées sur les dispositions générales du droit civil et leurs limitations
En règle générale, les demandes de dommages et intérêts sont fondées sur deux dispositions de droit civil :
– Article 390 (Inexécution de l'obligation et indemnisation des dommages) Si le débiteur ne remplit pas son obligation conformément aux termes de l'obligation, le créancier peut réclamer une indemnisation des dommages. Toutefois, ceci ne s’applique pas si l’exécution devient impossible sans intention ou négligence du débiteur.
– Article 750 (Contenu des actes illicites) Quiconque cause un dommage à autrui par un acte illicite, intentionnellement ou par négligence, est tenu de réparer le dommage.
En termes simples, l'article 750 du Code civil constitue la base de la responsabilité pour les dommages causés par la violation de la loi ou par un acte criminel par un auteur, et l'article 390 du Code civil constitue la base de la responsabilité pour les dommages causés par une violation ou une non-exécution d'un contrat dans une relation contractuelle.
Sur la base des dispositions de droit civil susmentionnées, les victimes de cet incident peuvent également réclamer une indemnisation pour les dommages causés. Toutefois, dans le cas d'incidents liés aux informations personnelles tels que les fuites d'informations personnelles, il est pratiquement impossible de prouver les exigences des dispositions de droit civil ci-dessus, telles que les actes illégaux ou la négligence du responsable du traitement des informations personnelles ou les dommages qui en résultent, il est donc difficile de reconnaître la responsabilité des dommages sur la base des dispositions ci-dessus.
2. Demande de dommages et intérêts en vertu de l'article 39 de la loi sur la protection des renseignements personnels
Par conséquent, la Loi sur la protection des renseignements personnels contient une disposition spéciale sur la base de la responsabilité en matière de dommages qui assouplit les exigences des dispositions de droit civil susmentionnées. Premièrement, l’article 39 de la Loi sur la protection des renseignements personnels permet à une personne concernée de réclamer une indemnisation pour dommages au responsable du traitement des renseignements personnels si elle subit un dommage en raison de la violation de la Loi sur la protection des renseignements personnels par le responsable du traitement des renseignements personnels, et impose la charge de la preuve concernant l’intention ou la négligence (ou la négligence grave) du responsable du traitement des renseignements personnels au responsable du traitement des renseignements personnels, et non à la personne concernée. Par rapport aux dispositions de droit civil susmentionnées, la charge de la preuve pesant sur la victime est réduite. Il sera plus facile de réclamer des dommages et intérêts que sur la base des dispositions de droit civil susmentionnées.
3. Est-il possible de demander une indemnisation même s’il n’y a pas de dommage ?
Toutefois, au vu des dispositions de l’article 39 de la Loi civile et de la Loi sur la protection des renseignements personnels, une demande de dommages-intérêts exige que les dommages soient causés par une violation par le responsable du traitement des renseignements personnels. Même dans des cas comme celui-ci, le fait que des informations personnelles aient été divulguées est clair, mais comme je n'ai subi aucun dommage réel, est-il possible de réclamer des dommages réels ?
La Loi sur la protection des renseignements personnels, en prévision de tels cas, n’exige pas que des dommages soient causés et permet de demander une indemnisation d’un certain montant même si aucun dommage ne survient. Conformément à l'article 39-2 de la loi sur la protection des informations personnelles, si des informations personnelles sont perdues, volées, divulguées, falsifiées, modifiées ou endommagées en raison de l'intention ou de la négligence du responsable du traitement des informations personnelles, le responsable du traitement peut réclamer une indemnisation pour un montant raisonnable de dommages et intérêts pouvant aller jusqu'à 3 millions de KRW.
4. Quel est le montant réel de l’indemnisation que je peux recevoir ?
Si un dommage survient, la responsabilité des dommages sera reconnue dans la mesure où une relation de cause à effet avec la fuite d'informations personnelles est reconnue, et même si aucun dommage ne survient, une indemnisation des dommages sera reconnue dans la fourchette de 3 millions de KRW ou moins conformément à l'article 39-2 de la loi sur la protection des informations personnelles. Entre-temps, si des informations personnelles sont divulguées et que des dommages surviennent en raison d'une négligence intentionnelle ou grave du responsable du traitement des informations personnelles, des dommages-intérêts punitifs pouvant aller jusqu'à cinq fois le montant des dommages-intérêts peuvent être reconnus conformément à l'article 39, paragraphe 2 de la loi sur la protection des informations personnelles.
Alors, quel est le montant des dommages et intérêts accordés dans les cas réels ? L'étendue de la responsabilité en matière de dommages est déterminée à la discrétion du tribunal en tenant compte de manière exhaustive de divers facteurs, notamment les circonstances dans lesquelles les renseignements personnels ont été divulgués, le type et la nature des renseignements personnels divulgués, le statut de gestion des renseignements personnels par le responsable du traitement des renseignements personnels et le degré de négligence.
En examinant des cas spécifiques, dans un cas où un employé externalisé a intentionnellement divulgué des informations sur un client de carte, telles que le numéro d'enregistrement de résident de la société émettrice de la carte, une responsabilité en matière d'indemnisation de 70 000 wons par personne a été reconnue (décision de la Haute Cour de Séoul 2016na2057183, 2016na2057176, 28 novembre 2019), et dans un cas où des informations personnelles telles que les identifiants, les mots de passe et les numéros de téléphone des membres d'Interpark ont été divulgués en 2016, une responsabilité en matière d'indemnisation de 100 000 wons par personne a été reconnue. Du point de vue de la personne qui a subi des dommages, ce montant ne peut qu’être regrettable, et les tribunaux semblent toujours adopter une position passive dans la reconnaissance de la responsabilité des dommages.
Bien que la fuite d’informations personnelles ne nous cause pas de dommages directs, il s’agit d’un problème grave qui peut conduire à divers délits d’hameçonnage et de fraude. Heureusement, la Loi sur la protection des renseignements personnels ouvre la voie aux victimes pour réclamer des dommages-intérêts dans une structure qui leur est plus favorable, mais la position des tribunaux jusqu'à présent a été quelque peu conservatrice, ce qui est regrettable. Néanmoins, je crois qu’il est nécessaire de tenir les entreprises responsables par le biais de ces actions en justice et d’empêcher que des incidents similaires ne se reproduisent à l’avenir. Si vous avez été victime d’une atteinte à la vie privée, vous pourriez envisager de demander l’aide d’un professionnel du droit pour exercer activement vos droits.
- Voir plus de colonnes connexes
You must be logged in to post a comment.