La Commission pour la protection des informations personnelles (PIPC), l’autorité sud-coréenne de régulation des données, a infligé une amende record de 624,6 milliards de wons, soit environ 409 millions de dollars, au géant du commerce électronique Coupang. Cette sanction fait suite à une fuite massive de données qui a touché plus de 37 millions de clients.
La filiale Coupang Fulfillment Service a également été condamnée à une amende de 248 millions de wons. Le régulateur a retenu contre elle la collecte, l’utilisation et le traitement illégaux de données personnelles et sensibles des clients.
Les enquêteurs ont établi que les informations personnelles d’environ 37,55 millions de personnes ont été exposées en raison de pratiques de sécurité défaillantes. Ces manquements concernaient notamment la gestion des clés d’authentification et les contrôles d’accès.
La PIPC a également relevé des violations des obligations de destruction des données et de notification des fuites. Elle a sanctionné l’ingérence dans l’indépendance du délégué à la protection des données de l’entreprise ainsi que l’obstruction à l’enquête.
Dans un communiqué, l’autorité a précisé : « Des informations personnelles concernant environ 37,55 millions de personnes ont été divulguées en raison d’un système de gestion de la sécurité de base insuffisant, notamment une négligence dans la gestion des clés de signature d’authentification et le contrôle d’accès. Concernant la violation par Coupang de ses obligations en matière de mesures de sécurité et la collecte d’informations personnelles sans base légale, une amende de 624,681 milliards de wons et une amende de 16,8 millions de wons ont été imposées, ainsi que des ordonnances de correction, des annonces et des ordres de publication. »
Coupang est une société de vente au détail en ligne de droit américain qui opère sur le marché sud-coréen. L’entreprise emploie 95 000 personnes et a déclaré un chiffre d’affaires annuel supérieur à 30 milliards de dollars.
Fin décembre, la société a annoncé son intention de verser 1 685 milliards de wons, environ 1,17 milliard de dollars. Elle prévoit aussi de distribuer à partir de janvier 2026 des bons d’achat à usage unique d’une valeur de 50 000 wons, soit 34 dollars, par client. Cette mesure vise à dédommager plus de 33 millions de clients affectés.
Cette fuite, l’une des plus graves de l’histoire de la Corée du Sud, s’est produite fin juin. Elle n’a été découverte qu’à la mi-novembre, lorsque l’entreprise a averti que 33,7 millions de comptes avaient été compromis.
Selon les autorités sud-coréennes qui ont repris l’enquête, le principal suspect est un ressortissant chinois âgé de 43 ans. Cet homme a travaillé dans le service informatique de Coupang entre 2022 et 2024.
Coupang a indiqué par la suite que cet ancien employé a rendu plusieurs disques durs contenant des données sensibles. Le suspect a aussi jeté un ordinateur portable MacBook Air dans une rivière pour tenter de détruire des preuves, mais l’appareil a été récupéré. L’entreprise a ajouté que le suspect conservait des données utilisateur pour environ 3 000 comptes, bien qu’il ait eu accès à des millions de comptes. Ces données ont été effacées de tous les appareils et n’ont pas été transférées à des tiers.
Par ailleurs, SK Telecom, le plus grand opérateur de réseau mobile de Corée du Sud, a averti ses clients en avril que des données sensibles de leurs puces USIM avaient été exposées après que son réseau a été infecté par un logiciel malveillant. La société a révélé plus tard que ce malware avait été déployé pour la première fois sur ses systèmes en juin 2022, touchant un total de 27 millions d’abonnés, ce qui représente quasiment l’intégralité de sa clientèle.