La Corée du Sud inflige à Coupang une amende record de 409 millions de dollars après une fuite massive de données touchant 33 millions d'utilisateurs

La fuite

Un ancien employé de nationalité chinoise a dérobé une clé de signature cryptographique et l'a utilisée pour accéder aux données des clients depuis des serveurs étrangers pendant près de cinq mois, de juin à novembre 2025. L'intrusion a exposé les noms, adresses e-mail, numéros de téléphone, adresses de livraison et historiques de commandes de plus de 33,7 millions de comptes clients — environ les deux tiers de la population sud-coréenne. Les informations de paiement n'auraient pas été compromises.

Coupang a détecté une activité suspecte le 18 novembre 2025 mais a attendu 48 heures pour avertir les autorités, manquant ainsi le délai légal de 24 heures. Ce retard est devenu un facteur central dans la sévérité de la sanction, selon la Commission de protection des informations personnelles (PIPC).

Conclusions du régulateur et amende record

La PIPC a imposé un montant total de 624,7 milliards de wons (environ 409 millions de dollars), comprenant 423,6 milliards de wons pour la fuite elle-même et 201,1 milliards de wons pour la collecte non autorisée des enregistrements d'activité en ligne de 11,17 millions d'utilisateurs ayant accédé à des services en dehors de la plateforme Coupang. Une amende distincte de 248 millions de wons a été ajoutée pour Coupang Fulfillment Services. Le total dépasse largement le précédent record sud-coréen de 134,8 milliards de wons infligé à SK Telecom.

Cet accident est dû au manque de mesures de sécurité et de systèmes de Coupang, et non à un piratage sophistiqué.

Le régulateur a constaté que Coupang n'a pas informé les personnes concernées, n'a pas supprimé les données exposées, n'a pas garanti l'indépendance de son délégué à la protection des données et a tenté d'entraver l'enquête.

Réponse de Coupang et conséquences pour l'entreprise

Coupang a présenté ses excuses pour avoir suscité des inquiétudes mais a regretté que ses mesures proactives et ses explications « n'aient pas été suffisamment prises en compte » dans la décision. L'entreprise a indiqué qu'elle contesterait l'amende devant les tribunaux. Le PDG Park Dae‑jun a démissionné en décembre 2025, et le même mois, la société a annoncé un plan d'indemnisation totalisant 1,69 billion de wons (1,17 milliard de dollars) sous forme de bons d'achat exclusivement sur la plateforme pour les clients concernés.

Frictions diplomatiques avec Washington

Coupang a son siège social à Seattle, aux États-Unis, mais réalise la majeure partie de son chiffre d'affaires en Corée du Sud. L'enquête a suscité des accusations de la part des républicains américains selon lesquelles l'enquête de Séoul constituait des « mesures réglementaires discriminatoires » à l'encontre des entreprises américaines. Les parlementaires sud-coréens ont répondu par une lettre conjointe signée par près de 100 hommes politiques exprimant leurs inquiétudes face à des « pressions indues » de la part des politiciens américains, ajoutant une dimension diplomatique à cette affaire de protection des données.

Poids financier de la sanction

L'amende est presque égale au bénéfice d'exploitation de 473 milliards de wons (473 millions de dollars) que Coupang a déclaré l'année dernière. À titre de comparaison, la Commission irlandaise de protection des données a infligé une amende de 306 millions de dollars à Meta en 2021 après l'exposition des données de 533 millions d'utilisateurs dans le monde.