La commission sud-coréenne de protection des données personnelles (PIPC) a infligé le 11 juin 2026 une amende de 624,7 milliards de wons, soit 409 millions de dollars, au géant du e-commerce Coupang. Cette sanction, la plus lourde jamais prononcée par une agence sud-coréenne pour une violation de données, sanctionne à la fois une fuite massive d’informations personnelles et le tracking illégal de millions d’utilisateurs.
Une fuite touchant 37,5 millions d’utilisateurs
La PIPC a établi que les données personnelles de 37,5 millions de personnes, noms, adresses email, numéros de téléphone et historiques de commandes, ont été exposées à la suite de défaillances dans la gestion des clés d’authentification et des contrôles d’accès. Le régulateur pointe une mauvaise administration des signatures de sécurité et l’absence de protections élémentaires des données clients.
L’incident, découvert en décembre 2025, est lié à un ancien employé ayant conservé un accès non autorisé au système pendant plusieurs mois. La commission reproche également à Coupang de ne pas avoir notifié l’ensemble des personnes concernées et de ne pas avoir procédé à la suppression des données dans les délais légaux.
À titre de comparaison, le précédent record sud-coréen appartenait à SK Telecom, sanctionné à hauteur de 134,8 milliards de wons en août 2024 après un piratage. Le montant infligé à Coupang représente près de quatre fois cette somme et équivaut quasiment au bénéfice d’exploitation annuel du groupe, soit 473 millions de dollars en 2025.
Un tracking illégal sur des sites tiers
Au-delà de la fuite, la PIPC a sanctionné Coupang pour avoir collecté sans consentement les données d’activité en ligne de 11,2 millions d’utilisateurs lorsqu’ils naviguaient sur des sites et applications tiers. Les informations recueillies incluaient les historiques de visite, les URL consultées, les noms d’applications, les horaires de connexion et les adresses IP, le tout stocké sous une forme identifiable, en infraction avec la réglementation sud-coréenne.
La commission a également constaté que Coupang n’avait pas exercé de contrôle suffisant sur ses partenaires publicitaires, dont certains diffusaient des publicités dites « hijacking ads », permettant de collecter les données d’utilisation des services Coupang sans le consentement des utilisateurs. Le régulateur ordonne à l’entreprise d’améliorer la transparence de ses traitements et d’offrir aux utilisateurs un contrôle effectif sur la publicité personnalisée.
La filiale logistique également sanctionnée
Coupang Fulfillment Services (CFS), la branche logistique du groupe, s’est vu infliger une amende distincte de 248 millions de wons. La PIPC y a relevé deux manquements : la constitution d’une liste noire de 71 journalistes couvrant les activités de la police nationale sud-coréenne, placés sur une liste de restrictions d’embauche alors qu’ils n’avaient jamais travaillé pour CFS, et l’utilisation abusive de données médicales d’employés, des relevés de poids initialement collectés pour le suivi de santé, soumis à un tribunal dans le cadre d’un litige sur un accident du travail.
Une pression diplomatique américaine écartée
L’enquête du régulateur sud-coréen a fait l’objet de pressions diplomatiques. Selon le Korea Herald et TechCrunch, des élus du Congrès américain et des membres de l’administration Trump ont exhorté Séoul à éviter toute « discrimination » à l’encontre de Coupang, société cotée aux États-Unis et qui y a son siège social.
Le ministère sud-coréen des Affaires étrangères a indiqué avoir « expliqué à Washington que l’enquête a été menée de manière équitable, conformément aux procédures prévues par le droit national » et que Coupang avait bénéficié de « possibilités suffisantes de présenter sa position ».
Coupang a présenté ses excuses dans un communiqué tout en annonçant son intention de contester la sanction devant les tribunaux. L’entreprise estime que les mesures préventives qu’elle a déployées pour limiter les dommages secondaires n’ont pas été suffisamment prises en compte par le régulateur. Les procédures judiciaires devraient s’étendre sur plusieurs mois.
