E-commerce: amende record pour Coupang en Corée du Sud après une fuite de données

information fournie par AFP •11/06/2026 à 05:18

La Corée du Sud a infligé jeudi une amende record équivalant à 350 millions d'euros au géant de l'e-commerce Coupang après une fuite de données massive, une affaire qui suscite des tensions avec les États-Unis où l'entreprise est cotée.

Cette décision clôt une enquête de plusieurs mois visant la plus grande plateforme de vente en ligne du pays, ouverte après l'apparition en novembre d'allégations concernant une fuite de données d'ampleur --sur fond de frictions entre Séoul et Washington.

"Nous avons décidé d'infliger des amendes s'élevant au total à 624,68 milliards de wons pour avoir enfreint les obligations de sécurité et collecté des données sans fondement juridique", a indiqué la Commission de protection des informations personnelles.

L'organisme conclut que les données de plus de 37 millions d'usagers avaient été exposées "en raison de mesures de protection de base insuffisantes, notamment une mauvaise gestion des clés de signature d'authentification et des contrôles d'accès laxistes".

Coupang, dont le siège social mondial se situe à Seattle aux Etats-Unis et qui est coté à New York, est incontournable dans l'e-commerce en Corée du Sud, proposant des produits en tous genres.

Le fuite de données, entre juin et novembre 2025, concernait des noms, adresses email, numéros de téléphone, adresses de livraison et historiques de commande. Informations de paiement et identifiants de connexion ont toutefois été épargnés.

Le groupe assure, lui, que seuls 3.000 dossiers clients ont effectivement été compromis.

"Nous regrettons que les mesures proactives prises pour prévenir tout préjudice secondaire, ainsi que nos explications fondées sur des faits avérés n'aient pas été suffisamment prises en compte", a déploré Coupang jeudi, évoquant sans détail des "procédures judiciaires pour établir clairement les faits".

Tensions diplomatiques

L'affaire a pris une tournure diplomatique: un groupe de parlementaires américains du Parti républicain a dénoncé en avril une enquête "discriminatoire" à l'égard des entreprises américaines.

En réplique, une centaine de députés sud-coréens ont appelé les États-Unis à mettre fin à des "pressions excessives" et à stopper "toute demande ou intervention indue", dans une lettre à l'ambassadeur américain à Séoul.

Ils y soulignaient que les tentatives d'"acteurs politiques extérieurs" visant à influencer l'enquête "soulèvent de graves questions au regard des principes de l'État de droit et des normes internationales établies".

Selon la presse sud-coréenne, Washington a menacé de suspendre les pourparlers de haut niveau sur la sécurité entre les deux pays à moins que Séoul ne garantisse la sécurité juridique du président de Coupang, Kim Bom, un citoyen américain également connu sous le nom de Kim Bom-suk.

Environ 28.500 soldats américains sont stationnés en Corée du Sud pour contribuer à la défense contre la Corée du Nord, qui dispose de l'arme nucléaire.

Par ailleurs, Séoul est sous la pression de Washington pour accélérer la concrétisation d'un accord conclu en octobre, qui prévoit 350 milliards de dollars d'investissements sud-coréens aux Etats-Unis en échange d'un abaissement des droits de douane américains.

Cette amende est de loin la plus lourde jamais infligée pour une fuite de données en Corée du Sud, dépassant largement les 76 millions d'euros imposés l'an dernier à l'opérateur mobile SK Telecom.

Cette pénalité massive infligée à Coupang "suscitera à nouveau des réactions négatives de la part des États-Unis", estime Kim Dae-jong, professeur à l'université Sejong de Séoul.

"Avec un montant est bien supérieur au précédent record, Washington devrait dénoncer cette décision en la jugeant excessive. Et Coupang va certainement la contester en portant l'affaire devant les tribunaux", indique-t-il à l'AFP.

Outre la fuite de données, l'enquête a montré que Coupang avait "collecté illégalement les historiques d'activité en ligne d'environ 11,17 millions d'utilisateurs sur des sites web et applications tiers, les stockant (...) sous une forme permettant l'identification", selon la Commission.

La présidente de la Commission, Song Kyung-hee, a déclaré jeudi que l'entreprise aurait dû informer les personnes concernées dans les 72 heures suivant la fuite de données, et que le retard enregistré "avait empêchées celles-ci de prendre des mesures pour prévenir des préjudices ultérieurs".