Asie-Pacifique

Amende de 750,7 millions de wons infligée à la société Modu Tour Network pour une fuite de données personnelles

La PIPC (présidée par Ko Hak-soo, ci-après dénommée « la Commission ») a aujourd’hui annoncé avoir décidé d’infliger une amende totale de 750,7 millions de wons (soit environ 475 000 euros) à la société Modu Tour Network*,  l’opérateur du service de médiation de voyage en ligne et hors ligne « Modu Tour », pour (notamment) des lacunes en matière de sécurité. Cette négligence a permis à un hacker d’exploiter une vulnérabilité d’upload de fichiers sur la page web exploitée par Modu Tour Network en juin 2024 pour exécuter les malwares présents dans ces fichiers, subtilisant ainsi les données personnelles d’environ 3,06 millions de membres et non-membres dans la base de données (DB) des informations clients (noms en coréen, noms en anglais, dates de naissance, sexe, numéros de téléphone portable, etc.).

La Commission a constaté, suite à une enquête, que :
* L’entreprise a négligé son obligation de mesures de sécurité et son obligation de destruction et de notification en cas de fuite conformément à la « Loi sur la protection des données personnelles ».  
* Malgré la découverte de la violation en juillet 2024, l’entreprise n’a informé le public qu’en septembre 2024, soit deux mois plus tard, sans raison valable, ce qui semble avoir exacerbé les craintes de violation des informations personnelles.
* Modu Tour Network a conservé des données personnelles de plus de 3,16 millions de non-membres (y compris les doublons) collectées depuis mars 2013 sans les détruire, malgré l’expiration de la période de conservation, ce qui a eu un impact sur cette fuite massive. 

En conséquence, l’entreprise a écopé d’une amende de plus de 750 millions de wons, et devra également améliorer ses pratiques.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Corée, mise en œuvre d’un contrôle préalable sur la collecte et l’utilisation des données personnelles par les robots aspirateurs

La PIPC a aujourd’hui annoncé avoir prévu de réaliser un contrôle préalable sur la collecte et l’utilisation des données personnelles des robots aspirateurs, qui traitent des informations vidéo et audio des personnes, dans un contexte où les ventes de ces appareils utilisant la technologie de l’Internet des objets (IoT) connaissent une forte augmentation.  La Commission prévoit d’examiner la conformité à la loi sur la protection des données personnelles tout au long du processus de traitement des données personnelles, en se concentrant sur les produits des principales marques* de robots aspirateurs lancés en Corée et à l’étranger : Samsung Electronics, LG Electronics, Roborock, Ecovacs, Xiaomi

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En Corée, 2 milliards de wons d’amendes prononcées à l’encontre de deux entreprises ayant mal sécurisé leurs données

La PIPC a aujourd’hui annoncé avoir condamné deux entreprises à un total d’environ 2 milliards de wons (soit environ 1,3 millions d’euros) pour avoir enfreint les règles en matière de sécurité des données.

* BusinessOn Communication Co., Ltd. a subi une fuite de 179 386 informations de membres du service « SmartBill » à la suite d’une attaque par injection SQL menée par un individu non identifié. L’enquête a révélé que BusinessOn Communication Co., Ltd. n’avait pas pris de mesures de défense contre les attaques par injection SQL et n’avait pas restreint l’accès au système pour empêcher les accès non autorisés, ce qui a entraîné la fuite de données personnelles. De plus, il a été confirmé que la notification de la fuite a été retardée. En conséquence, l’entreprise a été condamné à payer amende d’ 1,370 milliards de wons et devra améliorer ses pratiques.

* S’agissant de NHN Witu Co., Ltd. , l’entreprise a notifié à l’autorité que le « système des vendeurs » sur le site de marché « BagPop » a été attaqué par injection SQL, entraînant la fuite de 534 903 données personnelles de vendeurs et de clients contenues dans ce système. Il a également été confirmé que les numéros d’identité des membres étaient inclus parmi les informations divulguées. L’enquête a révélé qu’en juillet 2022, NHN Witu Co., Ltd. a continué à faire fonctionner le « système des vendeurs » pour consulter des transactions passées et répondre aux clients tout en rénovant le système. Dans ce laps de temps, l’entreprise n’a cependant pas pris de mesures de défense contre les attaques par injection SQL, et le pare-feu web était désactivé, ce qui a conduit à la fuite de données personnelles.

De plus l’enquête a révélé que NHN Witu Co., Ltd. n’a pas détruit l’ancienne base de données dans laquelle les objectifs de traitement des données personnelles avaient été atteints lors d’un transfert en février 2013 vers la nouvelle base de données ; et que cette ancienne base de données contenait encore des numéros d’identité alors que leur destruction est obligatoire en droit coréen.
L’entreprise a ainsi été condamnée à une amende de 611 millions de wons, et devra elle aussi améliorer ses pratiques.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Renforcement du système de représentants nationaux pour les entreprises étrangères : adoption d’un projet de loi par la commission permanente de l’Assemblée nationale

La PIPC a aujourd’hui annoncé qu’un projet de loi modifiant la « Loi sur la protection des données personnelles » (proposé par les députés Kang Min-guk et Kim Tae-ho) a été adopté le 24 février par la commission des affaires commerciales de l’Assemblée nationale (ci-après dénommée « commission des affaires commerciales »). Ce projet envisage la mise en place d’un système de représentants nationaux afin de garantir la « protection des données personnelles de nos concitoyens à l’égard des entreprises étrangères, ainsi que pour la réparation des dommages ». En particulier, ce projet de loi prévoit que lorsque l’entreprise étrangère dispose d’une filiale sur le territoire national coréen, cette filiale doit être désignée comme « représentant national » pour les sujets liés à la protection des données Il est exigé que le siège de l’entreprise à l’étranger gère et supervise ce représentant national, et de nouvelles sanctions en cas de violation ont été introduites. [Cet ajout correspond au mécanisme de l‘article 27 du RGPD]

L’article note que cette modification législative a été rapidement adoptée car, avec l’expansion récente de la mondialisation, le traitement des données personnelles de nos concitoyens par des entreprises étrangères a considérablement augmenté, ce qui a conduit des députés de tous bords à convenir de la nécessité de cette révision. Le député Kang Min-guk a expliqué que « qu’il n’existait aucune réglementation spécifique sur la forme ou le mode de fonctionnement des représentants locaux des entreprises étrangères, en dehors de leur simple présence sur le territoire national, ce qui entraînait des problèmes liés à la désignation et à l’exploitation « purement formelle » de ces représentants » [sans que ceux-ci n’aient de réelles fonctions].

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’application ‘DeepSeek’ temporairement suspendue en Corée du Sud

L’autorité coréenne de la protection des données a aujourd’hui annoncé la suspension temporaire, à compter du 15 février (samedi) à 18h00, de DeepSeek. Le service sera relancé après amélioration et complément en conformité avec la loi nationale sur la protection des données personnelles.

Dans son communiqué de presse, l’autorité note que :
* La PIPC a immédiatement envoyé un questionnaire officiel à DeepSeek concernant les méthodes de collecte et de traitement des données personnelles (le 31 janvier) et a commencé une analyse interne du service
* Les résultats de cette analyse ont révélé certaines insuffisances dans les politiques de communication avec des tiers et dans le traitement des données personnelles, comme signalé par les médias nationaux et étrangers
* La semaine dernière, DeepSeek a désigné un représentant national et a reconnu qu’il y avait eu des négligences concernant la conformité à la loi nationale lors du lancement du service mondial, tout en exprimant sa volonté de coopérer activement avec la Commission de protection des données personnelles (le 14 février)
* Après la suspension, des discussions ont été menées sur les améliorations et compléments à apporter.

La Commission prévoit d’effectuer un suivi minutieux du traitement des données personnelles par le service DeepSeekk pendant cette période de suspension afin de garantir le respect de la loi et d’apaiser les préoccupations du public concernant la protection des données personnelles.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Sekta Nine condamné à près d’1 million d’euros d’amende en Corée du Sud pour ne pas avoir notifié une violation dans les temps

La PIPC a annoncé avoir décidé d’imposer à la société Sekta Nine une amende administrative de 1,477,000,000 won et une amende de 7,200,000 won (soit environ 1 000 000 d’euros au total), pour avoir tardé à notifier et signaler une violation de données.  Le contexte est le suivant: un hacker non identifié a tenté une attaque de « Credential Stuffing » sur l’application Happy Point exploitée par Sekta Nine entre le 5 et le 11 octobre 2022, réussissant à se connecter. Par la suite, il a dérobé les données personnelles de 7,585 utilisateurs telles que le nom, l’identifiant, le sexe, la date de naissance et le numéro de carte Happy Point via l’interface de programmation d’application (API) qui renvoie les réponses lors d’une connexion réussie. Parmi ces utilisateurs, certains ont subi une utilisation non autorisée de leurs points Happy. Ensuite, entre le 30 octobre et le 3 novembre 2023, une nouvelle attaque de hacking similaire a eu lieu, provoquant une fuite supplémentaire de données personnelles concernant 9,762 personnes.

Sekta Nine n’a pas mis en place des mesures suffisantes pour protéger les informations des clients. En particulier, elle n’a pas élaboré de mesures pour détecter et bloquer les tentatives de connexion massives en cas de grande activité depuis la même adresse IP durant une courte période, et a négligé de mettre en œuvre des mesures de cryptage pour protéger les données personnelles incluses dans les réponses de l’API. De plus, même après l’incident de fuite initial en octobre 2022, des mesures suffisantes de prévention de récurrence n’ont pas été mises en place, ce qui a conduit à un nouvel incident de fuite en novembre 2023 de la même nature.

En outre, bien que l’incident survenu en 2022 ait été notifié à temps, il a été constaté que, dans le cas de l’incident survenu en 2023, la notification de la fuite a été faite plus de 72 heures après que Sekta Nine ait pris conscience de la situation, sans raison valable.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La PIPC établit des normes globales pour l’intelligence artificielle (IA) et les données en collaboration avec la France, le Royaume-Uni, l’Irlande et l’Australie

Dans un communiqué paru ce jour, la PIPC a annoncé avoir organisé le 11 février au matin (heure locale de Paris), dans le cadre du Sommet sur l’action de l’intelligence artificielle (IA) en France, une table ronde de haut niveau sur le thème ‘Gouvernance internationale des données et protection de la vie privée à l’ère de l’IA’ en collaboration avec l’Organisation de coopération et de développement économiques (OCDE) et la Commission nationale de l’informatique et des libertés (CNIL) de France.

Durant cet événement, les cinq agences de protection des données qui ont joué un rôle dominant dans le domaine de la confidentialité de l’IA ont discuté de l’impact et des implications des avancées et de la diffusion de la technologie IA sur la vie privée, du rôle établi des agences de protection des données comme catalyseurs de l’innovation dans l’IA, ainsi que de l’importance de la coopération et de la synergie avec la communauté internationale dans le cadre de l’IA.  Les cinq agences de protection des données ont convenu, lors de cette discussion, que l’obstacle à l’innovation en IA dans un environnement en rapide évolution n’est pas la ‘réglementation’ mais l’ ‘incertitude’, et ont débattu de la nécessité d’une approche basée sur des principes et de moyens pratiques d’exécution tels que des lignes directrices politiques pour réduire cette incertitude réglementaire.

À partir de ces discussions, les cinq agences de protection des données ont confirmé un consensus sur la nécessité d’établir une gouvernance des données qui favorise la promotion de l’innovation en IA tout en protégeant la vie privée et ont signé une déclaration conjointe. Cette déclaration a mis en avant le rôle prépondérant des agences de protection des données pour établir une gouvernance des données en IA digne de confiance sous un principe incitatif à l’innovation (pro-innovation) :
* Explorer diverses possibilités d’application des fondements légaux du traitement des données IA (intérêts légitimes, nécessité contractuelle, etc.) et promouvoir la compréhension commune.
* Évaluation des risques de confidentialité liés à l’IA fondée sur des preuves et des données scientifiques, et mise en œuvre de mesures de sécurité proportionnées.
* Surveillance minutieuse des implications techniques et sociales de l’IA et mise en œuvre adéquate.
* Établissement de dispositifs institutionnels tels que des ‘sandboxes’ réglementaires pour résoudre l’incertitude et soutenir l’innovation.
* Renforcement de la coopération avec les autorités compétentes et divers parties prenantes sur la concurrence, la protection des consommateurs et la propriété intellectuelle.

La Commission sur la protection des données devrait continuer ses efforts de leadership dans les normes internationales en matière de confidentialité des données liées à l’IA lors du Global Privacy Assembly (GPA) qui se tiendra à Séoul en septembre, en se fondant sur ses réalisations et expériences issues du Sommet sur l’action de l’intelligence artificielle (IA) en France.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

En collaboration avec des autorités européennes, la PIPC enquête également sur DeepSeek

La PIPC a annoncé collaborer étroitement avec des institutions majeures à l’étranger et dans le pays pour garantir la protection des données personnelles de nos citoyens dans le cadre du lancement de l’IA générative « DeepSeek ». Dès le lancement de DeepSeek, un questionnaire officiel a été envoyé au siège de DeepSeek concernant la collecte et le traitement des données (y compris les données personnelles) dans le cadre du développement et de la fourniture de ce service, par plusieurs canaux (en ligne et hors ligne). Les principales questions portent sur le responsable du traitement des données personnelles, les éléments collectés, l’objectif de la collecte, les méthodes de collecte, d’utilisation et de stockage, ainsi que le partage éventuel, avec des échanges de questions et réponses qui se déroulent habituellement plusieurs fois.

La PIPC procède actuellement à une analyse comparative minutieuse des documents clés relatifs à ce service (politique de traitement des données personnelles, conditions d’utilisation, etc.) et met en place un environnement d’utilisation réel pour analyser techniquement les données et le trafic réellement transmis lors de l’utilisation du service, en collaboration avec des institutions spécialisées (partage et coopération avec les ministères et institutions concernés).
En outre, l’autorité a annoncé consulter des institutions de régulation et de supervision des données personnelles de pays étrangers avec lesquels nous avons établi des canaux de coopération, notamment l’ICO, la CNIL et la DPC, et nous partageons actuellement les situations respectives tout en discutant d’une réponse commune à l’avenir.

[Ajout contextuel Portail RGPD: le même jour, l’autorité polonaise (UODO) a « recommandé une grande prudence dans l’utilisation de DeepSeek » dans un article. L’UODO a également lancé une analyse les informations liées au modèle DeepSeek R1 et surveille si le service offert par le fournisseur chinois respecte les exigences de traitement des données en vigueur dans l’UE. Pour l’UODO, il est essentiel de déterminer si l’application des entreprises chinoises fournissant le service de chatbot DeepSeek fonctionne conformément aux principes de traitement des données, si les fournisseurs respectent les portées et les finalités du traitement et s’ils remplissent leur obligation d’information vis-à-vis des utilisateurs.]

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

La PIPC inflige à Kakao Pay et à Apple une amende d’un montant total de 8,752 milliards wons pour le transfert non autorisé de données personnelles à l’étranger

La PIPC a annoncé aujourd’hui infligé une amende administrative de 5,968 milliards de wons (soit près de 4 millions d’euros)  à Kakao Pay Co., Ltd. et une amende de 2,450 milliards de wons et une contravention de 2,2 millions de wons (soit environ 1,6 millions d’euros au total) à Apple, pour violation des règlements sur les transferts à l’étranger des données personnelles établis par la loi sur la protection des informations personnelles. En outre, l’autorité a donné des ordres de correction à ces deux entreprises pour qu’elles respectent les conditions légales pour les transferts internationaux et a également ordonné à Alipay Singapore E-Commerce Private Limited, en relation avec Apple, de détruire le modèle de calcul des scores « Non Sufficient Funds Score » (NSFS) construit à partir des informations des utilisateurs de Kakao Pay sans consentement.

La Commission a entamé une enquête suite à des rapports médiatiques selon lesquels Kakao Pay avait transmis des données personnelles à Alipay sans le consentement des clients. Celle-ci a confirmé que Kakao Pay avait transmis les données personnelles de tous ses utilisateurs (environ 40 millions) à Alipay, à des fins d’évaluation des utilisateurs d’Apple sur la probabilité de manque de fonds lors de la facturation groupée de plusieurs petits paiements (NSF) , sans le consentement explicite de ces utilisateurs. Dans ce cas, les utilisateurs n’avaient aucun moyen de savoir quelles données personnelles étaient transférées à l’étranger et pourquoi. La Commission a également confirmé qu’Apple n’avait pas informé les utilisateurs du fait que leurs données personnelles étaient transférées et traitées à l’étranger par Alipay, un tiers prestataire de services.

Les violations spécifiques de la loi et les mesures prises sont les suivantes :
① Kakao Pay : Transmission des données personnelles de tous les utilisateurs à Apple (Alipay) sans consentement
② Apple : Ne pas avoir informé sur la sous-traitance et le transfert à l’étranger des données personnelles
③ Alipay : Construction du modèle NSF et calcul des scores avec des données personnelles fournies sans consentement

La PIPC note que cette enquête revêt une importance particulière dans le contexte actuel où le transfert de données personnelles à l’étranger s’accroît en raison de l’expansion des services de plateforme mondiale. Elle clarifie le périmètre du transfert de données à l’étranger et réaffirme que les entreprises doivent obligatoirement respecter les conditions légales pour ces transferts à l’étranger. En particulier, les entreprises doivent obtenir le consentement séparé des personnes concernées lors de la fourniture de services impliquant un transfert de données personnelles à l’étranger.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.