Selon Courrier International, le géant sud-coréen de l’e-commerce Coupang a écopé d’une amende historique de 624,7 milliards de wons (soit 409 millions de dollars, ou 354,6 millions d’euros) pour avoir négligé la mise en place de dispositifs de sécurité élémentaires. Cette sanction, la plus lourde jamais infligée par une agence gouvernementale coréenne pour violation de la protection des données personnelles, intervient après une fuite massive d’informations ayant touché plus de 37 millions d’utilisateurs de la plateforme.

Ce qu'il faut retenir

  • Une amende record de 409 millions de dollars pour Coupang, leader du e-commerce en Corée du Sud.
  • La fuite de données a été rendue possible par un système de gestion de la sécurité inadéquat, selon la Commission de protection des informations personnelles.
  • Plus de 37 millions d’utilisateurs ont vu leurs données personnelles exposées à cause d’un ancien employé ayant accédé aux informations pendant des mois sans être détecté.
  • Coupang a été sanctionné pour avoir omis d’informer les personnes concernées, n’a pas supprimé les données et a tenté d’entraver l’enquête.
  • L’affaire a provoqué un incident diplomatique entre Séoul et Washington, Coupang ayant son siège social aux États-Unis.

Une fuite de données évitable, selon les autorités

L’enquête de la Commission de protection des informations personnelles, lancée en novembre 2025, a révélé que la fuite de données n’était pas le résultat d’une attaque informatique sophistiquée, mais d’une gestion défaillante de la part de Coupang. « Les systèmes de protection et de gestion des données personnelles n’ont pas suivi le rythme de la croissance rapide de l’entreprise », a souligné l’autorité de régulation. L’ex-employé incriminé a pu accéder aux informations sans être détecté pendant plusieurs mois, exploitant des failles dans les protocoles de sécurité de la plateforme.

Selon les investigations, Coupang n’a pas respecté plusieurs obligations légales : l’absence d’information des utilisateurs concernés, le non-effacement des données exposées, le manque d’indépendance du responsable de la protection des données et la tentative d’obstruction à l’enquête. Ces manquements ont justifié une sanction d’une ampleur inédite, presque équivalente aux 473 millions de dollars de bénéfice d’exploitation enregistrés par Coupang en 2025.

Une amende qui dépasse les précédents records mondiaux

Pour donner une mesure de l’ampleur de cette sanction, Courrier International rappelle que la Commission de protection des données irlandaise avait infligé en 2021 une amende de 306 millions de dollars à Meta après l’exposition des données personnelles de 533 millions d’utilisateurs dans le monde. La somme imposée à Coupang représente donc un précédent significatif en matière de régulation des données personnelles en Asie.

Coupang, qui conteste la décision, affirme avoir pris des mesures pour limiter les dommages et que ses explications n’ont pas été suffisamment prises en compte. L’entreprise dispose désormais d’un délai pour contester la sanction devant les tribunaux, conformément à la loi coréenne. Cette procédure pourrait prolonger l’affaire pendant plusieurs mois, voire années.

Un incident diplomatique avec les États-Unis

La situation est d’autant plus complexe que Coupang, dont le siège social est situé à Seattle, aux États-Unis, et dont le président Kim Bom possède la nationalité américaine, a déclenché un incident diplomatique entre la Corée du Sud et Washington. Greenoaks Capital Partners, un important actionnaire de Coupang, a poussé un groupe de parlementaires républicains à critiquer Séoul pour un traitement « discriminatoire » envers une entreprise cotée à la Bourse de New York.

Selon certaines sources citées par Bloomberg, les États-Unis auraient même menacé de suspendre les pourparlers en cours avec la Corée du Sud sur des questions de sécurité. Cette affaire illustre les tensions croissantes autour de la régulation des géants technologiques, notamment lorsque leurs activités dépassent les frontières nationales. Coupang, qui s’est rapidement imposé comme un acteur majeur en Asie, se retrouve aujourd’hui au cœur d’un débat plus large sur la protection des données à l’ère du numérique.

Et maintenant ?

Si Coupang décide de contester l’amende devant les tribunaux, la procédure judiciaire pourrait s’étaler sur plusieurs mois, voire années. Dans l’intervalle, l’entreprise devra revoir en profondeur ses protocoles de sécurité et de gestion des données pour se conformer aux exigences légales. Pour les autorités coréennes, cette sanction envoie un signal fort aux autres acteurs du secteur, leur rappelant que le non-respect des règles en matière de protection des données aura des conséquences financières majeures. Quant aux relations entre Séoul et Washington, cette affaire pourrait influencer les discussions futures sur la régulation des entreprises technologiques et la coopération internationale en matière de cybersécurité.

Cette décision intervient dans un contexte où les régulateurs du monde entier renforcent leurs contrôles sur les géants du numérique. En Asie, comme en Europe, les autorités multiplient les sanctions pour inciter les entreprises à mieux protéger les données de leurs utilisateurs. Pour Coupang, l’enjeu est désormais double : réparer sa réputation et éviter de nouvelles sanctions qui pourraient menacer sa position dominante sur le marché du e-commerce en Corée du Sud et en Asie.