Les régulateurs sud-coréens ont imposé une pénalité record de 624,6 milliards de wons (409 millions de dollars) au géant du commerce électronique Coupang à la suite d’une violation de données ayant révélé les informations personnelles de dizaines de millions de clients et d’une enquête sur la gestion des données utilisateurs par l’entreprise.
Cette sanction, annoncée par la Commission de protection des informations personnelles (PIPC), est la plus importante sanction liée à la vie privée jamais infligée en Corée du Sud. Les régulateurs ont indiqué que l’affaire concernait à la fois une importante fuite de données clients et la collecte illégale de données d’activités en ligne auprès des utilisateurs.
Selon le PIPC, plus de 33 millions de clients ont été touchés par la fuite. D’autres rapports estiment le nombre de personnes touchées à 37,6 millions, ce qui en fait l’un des plus grands incidents d’exposition à des données de l’histoire du pays. Les enquêteurs ont indiqué que les informations clients étaient accessibles pendant une longue période avant que l’entreprise ne détecte le problème.
Le régulateur a conclu que l’incident résultait d’un contrôle interne de sécurité inadéquat plutôt que d’une attaque externe sophistiquée. Les responsables ont indiqué qu’un ancien employé conservait l’accès à une clé de sécurité permettant un accès non autorisé aux informations des clients même après avoir quitté l’entreprise. Les enquêteurs ont également constaté que l’entreprise n’avait pas identifié rapidement une activité inhabituelle et n’avait pas détecté la violation dans le délai de déclaration exigé par la loi sud-coréenne.
Au-delà de la violation elle-même, la commission a indiqué que Coupang a illégalement collecté des informations sur les activités en ligne d’environ 11 millions d’utilisateurs via ses systèmes marketing sans obtenir le consentement approprié. Cette constatation a largement contribué à la pénalité globale.
Les autorités sud-coréennes ont déjà révélé que les informations exposées comprenaient des détails clients tels que noms, numéros de téléphone, adresses e-mail, informations de livraison et autres données liées aux comptes. Une enquête soutenue par le gouvernement plus tôt cette année a conclu que plus de 33,6 millions de comptes avaient été exposés.
Coupang s’est excusé après l’annonce du régulateur mais a critiqué certains aspects de la décision. La société a indiqué que ses efforts pour prévenir d’autres dommages après la violation n’étaient pas suffisamment pris en compte dans les conclusions de la commission et a indiqué qu’elle pourrait contester la décision.
Selon les calculs réglementaires, cette pénalité représente environ 1,4 % du chiffre d’affaires de Coupang en 2025. Le PIPC a indiqué que cette affaire démontrait que les entreprises gérant de grands volumes de données clients doivent maintenir des systèmes de sécurité et de surveillance adaptés à l’ampleur de leurs opérations.