Ce que la fuite de données de Coupang a réellement exposé : 37 millions d’utilisateurs et plus encore
La Commission de protection des informations personnelles (PIPC) de Corée du Sud a infligé une amende historique de 624,6 milliards de wons, soit environ 409 millions de dollars, à Coupang, la plus grande plateforme de commerce électronique du pays. L’amende pour la fuite de données de Coupang est désormais la plus lourde sanction pour atteinte à la vie privée jamais prononcée dans l’histoire du pays, et l’une des plus importantes jamais enregistrées en Asie.
La violation a touché plus de 33 millions de membres inscrits de Coupang et 4,3 millions de non-membres supplémentaires, portant le nombre total de personnes exposées à plus de 37 millions. Pour situer le contexte, la Corée du Sud compte environ 52 millions d’habitants, ce qui signifie que la fuite a concerné une part significative de la population adulte du pays. Les données exposées incluraient des identifiants personnels, des coordonnées et des historiques d’achat, soit le type d’informations qui donne aux acteurs malveillants suffisamment de matériel pour lancer des attaques de phishing, du credential stuffing et des usurpations d’identité.
Coupang a annoncé son intention d’engager une action en justice contre cette amende, ouvrant la voie à un long conflit réglementaire qui pourrait durer des années. L’entreprise conteste à la fois l’ampleur de la sanction et les conclusions qui la sous-tendent, une réaction de plus en plus fréquente lorsque les régulateurs prononcent des amendes à neuf chiffres en matière de protection des données.
Comment l’amende coréenne se compare au RGPD et aux sanctions des États américains
Le montant de cette sanction invite immédiatement à la comparaison avec les mesures d’exécution prises en Europe et en Amérique du Nord. En vertu du Règlement général sur la protection des données de l’Union européenne, l’amende maximale est de 4 % du chiffre d’affaires annuel mondial de l’entreprise. L’action de la PIPC contre Coupang montre que les régulateurs sud-coréens sont prêts à calibrer les pénalités pour dissuader réellement les grandes plateformes, plutôt que d’infliger des tapes symboliques sur les doigts.
Aux États-Unis, le paysage est plus fragmenté. L’application fédérale par la FTC a tendance à être plus lente et davantage négociée. L’action au niveau des États s’accélère toutefois. Les amendes des États américains pour atteinte à la vie privée ont atteint un montant record de 3,425 milliards de dollars en 2025, dépassant les totaux cumulés des cinq années précédentes, ce qui reflète un mouvement mondial plus large visant à traiter la mauvaise gestion des données comme un risque financier sérieux plutôt que comme une simple note de conformité.
L’amende infligée à Coupang par la Corée se distingue parce qu’elle vise un leader du marché domestique, et non un géant technologique étranger. En Europe, les régulateurs ont historiquement prononcé leurs plus lourdes amendes contre des entreprises basées aux États-Unis comme Meta et Google. Lorsque la propre plateforme de commerce électronique phare d’un pays écope d’une amende record, cela indique que l’application des règles dépasse le stade des affaires spectaculaires ciblant des sociétés étrangères.
Pourquoi les entreprises contestent systématiquement les amendes records pour violation de données et ce qui se passe ensuite
La décision de Coupang de contester l’amende n’a rien de surprenant. Contester les lourdes pénalités réglementaires devant les tribunaux est une pratique courante des entreprises, pour plusieurs raisons. Premièrement, cela retarde l’impact financier pendant la procédure. Deuxièmement, les sociétés parviennent parfois à faire réduire le montant final, soit parce que les tribunaux leur donnent raison sur des vices de procédure, soit parce que des négociations de règlement aboutissent à un chiffre inférieur. Troisièmement, la contestation judiciaire elle-même envoie aux actionnaires et aux partenaires commerciaux le signal que la direction se défend au lieu d’accepter la faute.
Ce schéma se répète dans de nombreuses affaires très médiatisées de protection des données. Après le procès intenté par la Californie contre 23andMe à la suite d’une violation touchant les données génétiques de 7 millions d’utilisateurs, les procédures judiciaires se sont prolongées bien au-delà de l’annonce initiale, la résolution finale impliquant une procédure de faillite et une vente d’actifs plutôt qu’un simple paiement d’amende.
Pour les régulateurs, les amendes contestées restent utiles. Même si Coupang ne paie finalement qu’un montant réduit, le chiffre annoncé envoie un signal aux autres grandes plateformes opérant en Corée : une mauvaise gestion grave des données expose à un véritable risque financier. Le coût réputationnel d’une amende publique de cette ampleur joue également un rôle dissuasif, indépendamment de l’issue judiciaire finale.
Les mesures que les utilisateurs soucieux de leur vie privée peuvent prendre après une fuite de données à grande échelle dans le commerce de détail
Si vous faites partie des 37 millions de personnes dont les informations ont été exposées lors de la fuite de Coupang, ou si vous réévaluez simplement votre exposition après une affaire très médiatisée comme celle-ci, il y a des gestes concrets à faire immédiatement.
Changez vos mots de passe. Si vous utilisez le même mot de passe pour plusieurs services, une fuite chez un seul commerçant crée un risque partout. Utilisez un gestionnaire de mots de passe pour conserver des identifiants uniques et complexes pour chaque compte.
Activez l’authentification multifacteur. Même si votre mot de passe a été exposé, l’authentification multifacteur (MFA) rend beaucoup plus difficile pour les attaquants l’accès à vos comptes à l’aide d’identifiants volés.
Surveillez vos comptes financiers. Les fuites dans le commerce de détail incluent fréquemment des historiques d’achat et parfois des données de paiement partielles. Passez en revue vos relevés bancaires et de carte à la recherche de transactions inhabituelles au cours des semaines à venir.
Soyez attentif au phishing. Les attaquants qui obtiennent vos coordonnées à partir de bases de données compromises envoient souvent des courriels ou des SMS de phishing convaincants. Méfiez-vous des messages inattendus vous demandant de vérifier les informations de votre compte, surtout ceux qui créent un sentiment d’urgence.
Demandez vos données. De nombreuses juridictions, y compris la Corée du Sud en vertu de sa loi sur la protection des informations personnelles, donnent aux individus le droit de demander quelles données une entreprise détient sur eux et d’en réclamer la suppression. Si vous êtes un utilisateur de Coupang, ce droit existe indépendamment du litige juridique en cours.
Ce que cela signifie pour vous
L’amende pour violation de données infligée à Coupang en Corée n’est pas seulement l’histoire d’une entreprise ou d’un pays. Elle s’inscrit dans un mouvement plus large où les gouvernements traitent les données personnelles comme un bien protégé, avec de véritables moyens d’exécution. Que vous fassiez ou non vos achats sur des plateformes coréennes, cette tendance est importante : partout dans le monde, les régulateurs augmentent les enjeux pour les entreprises qui ne protègent pas les informations des utilisateurs.
Le meilleur moment pour examiner votre propre empreinte numérique, c’est maintenant, avant la prochaine fuite, et non après. Comprendre vos droits en vertu des lois sur la protection de la vie privée qui vous sont applicables est un point de départ concret. Pour une vision plus large de la façon dont l’application des sanctions évolue près de chez vous, les données sur la hausse des pénalités imposées au niveau des États américains offrent un cadre utile pour comprendre où se dirige la dynamique réglementaire.
