Points clés à retenir :
Le régulateur sud-coréen de la protection des données a imposé une amende record de 410 millions de dollars à Coupang pour une fuite de données ayant touché 37,6 millions d'utilisateurs, la plus lourde sanction du genre jamais infligée à une entreprise dans le pays.
La Commission de protection des informations personnelles (PIPC) de Corée du Sud a infligé jeudi à Coupang une amende de 624,68 milliards de wons (410,1 millions de dollars) pour une fuite de données ayant touché 37,6 millions d'utilisateurs, soit la plus lourde sanction pour atteinte à la vie privée jamais imposée à une entreprise dans l'histoire du pays.
« Cet incident n'a pas été causé par des techniques de piratage sophistiquées, mais par le système de gestion de sécurité de base inadéquat et la négligence de Coupang », a déclaré Kyung Hee Song, présidente de la PIPC, lors d'un point de presse.
L'amende représente 1,4 % des 45 000 milliards de wons de revenus de Coupang en 2025, selon les calculs de Reuters. Un ancien développeur de logiciels chinois avait conservé une clé d'authentification après avoir quitté l'entreprise, permettant un accès non autorisé pendant environ un an jusqu'à ce que Coupang détecte la fuite en novembre 2025. L'auteur a eu accès aux noms, numéros de téléphone et codes d'accès aux immeubles résidentiels, mais pas aux données de cartes de crédit ni aux pièces d'identité gouvernementales, a précisé Coupang. Le régulateur a également constaté que l'entreprise avait collecté illégalement des données d'activité en ligne sur environ 11 millions de clients via un programme marketing sans leur consentement.
Cette sanction accentue la pression réglementaire sur le géant du commerce électronique basé à Seattle, qui contrôle environ 40 % du marché logistique sud-coréen, et intervient alors que Washington et Séoul poursuivent leurs négociations commerciales. Coupang a déclaré regretter cette décision et s'attend à ce que les faits soient « clairement établis par les procédures juridiques », signalant un possible appel.
L'action Coupang a chuté de 4,97 % à la Bourse de New York suite à cette annonce, reflétant l'inquiétude des investisseurs quant à l'impact financier et réputationnel. L'entreprise, constituée dans le Delaware mais tirant la majeure partie de ses revenus de la Corée du Sud, avait précédemment indiqué qu'elle renforcerait ses systèmes de protection des données.
La PIPC a déclaré que Coupang n'avait pas détecté la fuite dans les 72 heures requises par la loi sud-coréenne. Song a souligné que le système de sécurité de l'entreprise permettait au pirate d'accéder facilement aux informations personnelles de tous les clients, même après le départ du suspect, et que Coupang n'avait eu connaissance du trafic de données inhabituel qu'après une demande d'un client.
L'enquête avait attiré l'attention des responsables commerciaux américains, craignant que les autorités coréennes n'aient outrepassé leurs prérogatives dans leur traitement de l'entreprise cotée aux États-Unis. La Corée du Sud a maintenu que l'enquête n'était ni une question commerciale ni de sécurité et qu'elle devait être traitée séparément des négociations bilatérales en cours.
L'amende dépasse de loin les sanctions précédentes pour fuite de données imposées à des entreprises sud-coréennes comme SK Telecom et KT, signalant une escalade significative de l'application des règles par la PIPC. La dernière sanction comparable — une amende de 7,5 milliards de wons infligée à SK Telecom en 2023 pour une fuite de données ayant touché 19 millions d'utilisateurs — représentait moins de 2 % du montant actuel, soulignant le durcissement de la position du régulateur.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.
