33,7 millions de données fuitées, et ce que nous ratons
J’ai acheté quelque chose sur Coupang. J’utilisais souvent le service car la livraison Rocket est pratique. Je me suis habitué à ce service magique où l’on commande à l’aube et où ça arrive le matin.
Puis un jour, un message est arrivé.
“Vos informations personnelles ont fuité.”
Mon nom, mon e-mail, mon adresse de livraison, le code de mon entrée commune ont pu fuiter quelque part. Cela signifie que quelqu’un pourrait connaître le code de la porte d’entrée de ma maison. J’en ai eu la chair de poule.
33,7 millions de personnes. Cela correspond à 3 adultes sur 4 en Corée du Sud. Nous sommes tous des victimes. Nous avons le droit d’être en colère.
Mais en observant la situation actuelle, je ressens un étrange malaise.
Déluge de critiques et réponse “pour la galerie”
Les médias frappent sur Coupang. Chaque jour, de nouveaux articles pleuvent. L’Assemblée nationale organise une audition conjointe impliquant 6 comités permanents. Le Parti démocrate propose la ‘Loi d’interdiction d’entrée Kim Beom-seok’. Ils veulent lui interdire l’entrée sur le territoire de façon permanente, comme pour le chanteur Yoo Seung-jun (Steve Yoo). Plus de 650 000 personnes ont rejoint le café en ligne pour l’action collective. Tout le monde jette des pierres à Coupang.
Coupang a tardivement annoncé un plan de compensation. Ils ont parlé de 50 000 wons par personne, pour un total de 1 685 milliards de wons. Ils l’ont promu comme la plus grande compensation préventive de l’histoire. Mais en y regardant de plus près, la réalité était différente. Le montant réellement utilisable sur Coupang n’était que de 5 000 wons. Le reste était de 20 000 wons sur Coupang Travel, 20 000 wons sur Coupang R.Lux (luxe), et 5 000 wons sur Coupang Eats.
Coupang Travel ? Coupang R.Lux ? La plupart des consommateurs ne savent même pas ce que c’est. Des sarcasmes ont émergé : “Ça s’écrit compensation, ça se lit marketing”. Les victimes étaient furieuses. “Est-ce qu’envoyer des coupons résout le pillage de nos données ?”
Kim Beom-seok, président du conseil d’administration de Coupang Inc., a refusé de comparaître à l’audition parlementaire. Il a soumis une excuse de non-comparution invoquant un “calendrier d’affaires à l’étranger”. L’Assemblée nationale l’a dénoncé pour violation de la loi sur le témoignage parlementaire. Ils envisagent même l’émission d’un mandat d’amener, une enquête parlementaire, voire une interdiction d’entrée.
Soyons clairs. Coupang a commis une faute.
Un ancien employé a accédé sans autorisation aux données clients pendant environ 5 mois. Coupang ne l’a pas détecté. Ils ont déclaré n’avoir pris connaissance de la fuite qu’après avoir reçu un e-mail de chantage le 18 novembre. 5 mois. Près de six mois. Pendant cette période, les informations de 33,7 millions de personnes ont été accessibles illégalement. C’est une négligence grave de la gestion de la sécurité.
Même après avoir pris connaissance de la fuite, la réponse de Coupang a posé problème. La Commission de protection des informations personnelles a jugé le contenu de la notification initiale inexact et a exigé une rectification sous 7 jours. La police s’est inquiétée de la possibilité de destruction de preuves, affirmant que l’auto-analyse forensique de Coupang s’était déroulée sans coopération à l’enquête. Le fait que les nuances entre les versions coréenne et anglaise du communiqué du 25 décembre soient différentes était aussi un acte trahissant la confiance.
Coupang mérite d’être critiqué. Ils doivent payer des amendes, indemniser les victimes et renforcer leur système de sécurité. Le propriétaire qui n’a pas bien fermé sa porte quand un voleur est entré a aussi une responsabilité. C’est vrai.
Mais regardez le spectacle actuel.
Plutôt que d’essayer d’attraper le voleur, toute l’énergie est concentrée sur l’exécution publique du propriétaire. Les médias déterrent chaque jour de nouveaux “chefs d’accusation” contre Coupang. L’Assemblée nationale tient des auditions pour hurler. Le peuple afflue vers les cafés d’action collective. Tout le monde est occupé à jeter des pierres sur Coupang.
Pendant ce temps, les questions vraiment importantes sont enterrées.
Pourquoi cela se répète-t-il depuis 17 ans ? Comment faire pour que cela ne se reproduise plus ? Comment renforcer le système de sécurité de tout le quartier pour que les voleurs n’entrent pas ?
17 ans d’histoire qui tourne en rond
Remontons le temps.
Il y a eu l’affaire du piratage d’Auction. 18 millions de données personnelles volées. 146 000 personnes ont participé à l’action collective, pour une valeur de litige atteignant 157 milliards de wons. Le résultat ? La Cour suprême a jugé qu‘“Auction n’avait pas de responsabilité d’indemnisation”. Les victimes n’ont pas reçu un centime.
Il y a eu l’affaire du piratage de Nate et Cyworld. 35 millions de données fuitées. Cela représentait 70% de la population sud-coréenne à l’époque. Le résultat ? “SK Communications n’a pas de responsabilité d’indemnisation.” Les victimes n’ont pas reçu un centime.
L’affaire des trois sociétés de cartes de crédit était encore plus choquante. KB Kookmin Card, NH Nonghyup Card, Lotte Card : 105,8 millions de données fuitées au total. La plus grande de l’histoire de la Corée. Cette fois, le tribunal a reconnu la responsabilité des entreprises. Combien ont-ils reçu ? 100 000 wons par personne (environ 70 euros). Et ce, après plusieurs années de procès.
L’affaire Interpark, l’affaire LG Uplus, l’affaire du piratage des cartes SIM de SK Telecom au début de cette année. Et maintenant Coupang.
17 ans ont passé. Qu’est-ce qui a changé ?
Les données continuent d’être pillées, les entreprises paient quelques milliards de wons d’amende et passent à autre chose, et les victimes reçoivent 100 000 wons ou rien du tout. Et nous cherchons la prochaine cible pour nous mettre en colère.
À l’époque aussi, les médias frappaient l’entreprise concernée. L’Assemblée nationale tenait des auditions. Le peuple était en colère. Et quelques mois plus tard, on oubliait. Le système n’a pas changé.
Ce sera probablement pareil pour Coupang.
Des amendes “argent de poche” et le calcul des coûts par les entreprises
Selon un rapport du Hankyoreh, au cours des 5 dernières années, un total de 109 164 950 données personnelles ont été divulguées. Le montant total des amendes infligées par la Commission de protection des informations personnelles sur la même période est d’environ 360 milliards de wons. Si l’on calcule, l’amende par cas est d’environ 3 300 wons (2 euros).
Mon information vaut 3 300 wons.
Qu’en est-il aux États-Unis ? La Commission fédérale du commerce (FTC) a infligé une amende de 5 milliards de dollars à Facebook (aujourd’hui Meta). Environ 5 900 milliards de wons. Dans l’affaire de la fuite de données d’Equifax, un règlement de 700 millions de dollars a été fixé.
Et la Corée ? Les 134,8 milliards de wons infligés à SK Telecom sont le record historique. Il n’y a aucune possibilité que des milliers de milliards de wons soient infligés en vertu de la loi actuelle. Parce qu’il n’y a pas de base pour le faire.
Pour une entreprise, l’amende n’est qu’un “coût”. S’il est moins cher de payer l’amende après une fuite que d’investir dans la sécurité, qui investira dans la sécurité ?
Mais combien de reportages soulignent ce problème structurel ? Combien de députés demandent l’introduction de dommages-intérêts punitifs ? À quel point entend-on la voix des ONG demandant le renforcement des capacités de surveillance de la Commission de protection des informations personnelles ?
Les articles tapant sur Coupang débordent. Parce que ça fait du clic. Les articles demandant une amélioration du système sont difficiles à trouver. Parce que ça ne fait pas de clic.
Audition parlementaire : Un “spectacle de hurlements” sans solution
L’Assemblée nationale a décidé de tenir une audition conjointe impliquant 6 comités permanents en réponse à l’affaire Coupang. C’est une audition massive sans précédent. En apparence, cela semble impressionnant.
Mais posons la question. Quel est le but de cette audition ?
Depuis quand les auditions parlementaires en Corée sont-elles devenues des “lieux pour hurler sur quelqu’un” plutôt que des “lieux pour trouver des solutions” ?
Les députés s’assoient devant le micro et crient sur les témoins. Les caméras tournent. La scène passe aux infos. Elle monte sur YouTube. Des titres comme “Un tel a sévèrement réprimandé un tel”, “Un tel a cloué le bec à un tel” sont apposés. Les vues montent. La cote de popularité du député monte.
Quelle est l’essence d’une audition ? Identifier la cause du problème et préparer des mesures pour éviter la récidive. Révéler la vérité et améliorer le système. Mais avez-vous déjà vu une telle discussion avoir lieu lors d’une audition coréenne ?
La plus grande caractéristique des auditions américaines est le système de vérification approfondie et l’absence de contrainte de temps. Aux États-Unis, avant l’audition de confirmation, le FBI, l’IRS et le comité d’éthique sont mobilisés pour vérifier minutieusement le candidat. Ils enquêtent sur 233 points pendant deux semaines. Lors de l’audition de la secrétaire d’État Hillary Clinton, les questions portaient principalement sur la politique, le fonctionnement du département d’État et la politique étrangère américaine.
En Corée ? Les députés posent directement les questions, mais beaucoup sont des questions rhétoriques dont la réponse est déjà fixée. “C’est bien votre faute, n’est-ce pas ?”, “N’est-ce pas se moquer du peuple ?”, “Regrettez-vous ?” Quelle réponse attendent-ils ? Ce ne sont pas des questions, ce sont des sentences.
Pour les députés, l’audition est une occasion de se faire connaître. Une occasion de peindre le tableau “Je suis juste, ce témoin est une mauvaise personne” devant le peuple. Cette scène passe aux infos, se répand sur les réseaux sociaux, les partisans applaudissent. Cela devient des votes à la prochaine élection.
Alors les députés rivalisent pour hausser le ton. Ils réprimandent plus fort. Ils attaquent plus vivement. Le critère de compétition devient “qui mettra le plus le témoin en difficulté”. Trouver une solution est hors de propos. Améliorer le système n’est pas intéressant. Parce que ce que les téléspectateurs veulent, c’est une “scène de baston”.
L’audition Coupang ne sera pas différente.
Les députés crieront sur les responsables de Coupang. “Comment avez-vous pu ne pas savoir que les informations de 33,7 millions de personnes étaient pillées pendant 5 mois !”, “Vous moquez-vous du peuple !”, “Regrettez-vous !” Les caméras captureront la scène. Elle passera aux infos. Elle montera sur YouTube. La cote des députés montera.
Et après l’audition ?
Rien ne changera.
Aucune analyse technique ne sera faite sur la raison pour laquelle l’accès d’un ancien employé aux données de 33,7 millions de personnes pendant 5 mois n’a pas été détecté. Il n’y aura pas de discussion professionnelle sur les failles du système actuel de certification ISMS (Système de gestion de la sécurité de l’information). Aucune alternative ne sera présentée sur la manière de renforcer les capacités de surveillance de la Commission de protection des informations personnelles. Aucun consensus ne sera atteint sur la date d’introduction du système de dommages-intérêts punitifs.
L’audition se terminera, les députés retourneront dans leurs circonscriptions, Coupang paiera l’amende, et les victimes recevront 100 000 wons dans quelques années, ou rien.
Une vraie audition devrait être un lieu pour révéler “pourquoi cela s’est produit” et discuter de “comment faire pour que cela ne se reproduise plus”. La véritable recherche de responsabilité commence par des questions concrètes. “Quelle est la cause technique de la non-détection de l’accès anormal aux données pendant 5 mois ?”, “Quelle est la faille dans les normes actuelles de certification ISMS qui n’a pas permis d’empêcher cet incident ?”, “Pourquoi ce problème n’a-t-il pas été découvert lors de l’inspection régulière de la Commission ?”, “Quels sont les effets et les effets secondaires attendus de l’introduction du système de dommages-intérêts punitifs ?”
Combien de députés poseront ces questions ? Ces questions ne passent pas aux infos. Les vues YouTube ne montent pas. Elles ne reçoivent pas autant de “J’aime” que les scènes de cris.
C’est pour cela que les auditions coréennes ne changent pas. Tant que crier rapportera des votes.
Qu’est-ce qui changerait si Kim Beom-seok assistait à l’audition ? Si les députés lui crient “Pourquoi n’êtes-vous pas venu !”, “Ignorez-vous le peuple !”, cela empêchera-t-il la fuite de données personnelles ? S’il baisse la tête et s’excuse, mon code d’entrée deviendra-t-il sûr ?
Si le but de l’audition est de soulager la colère, ce n’est pas une audition mais une séance de thérapie collective. Si le but est le profit politique des députés, ce n’est pas une audition mais une campagne électorale.
La colère mal dirigée des médias et du public
Quel est le rôle des médias ?
Surveiller le pouvoir, révéler la vérité, former l’opinion publique. Mais que font les médias actuellement ?
Des dizaines d’articles critiquant Coupang pleuvent chaque jour. Les actifs de Kim Beom-seok, sa famille, ses déclarations passées, l’environnement de travail de Coupang, les soupçons de lobbying de Coupang. Ils fouillent Coupang sous tous les angles. Les lecteurs cliquent. Les revenus publicitaires montent.
Mais combien d’articles demandent “Pourquoi les accidents de fuite de données personnelles se répètent-ils depuis 17 ans ?” Combien d’investigations traquent “La politique de protection des données du gouvernement est-elle efficace ?” Combien d’articles de fond demandent “Pourquoi le système de dommages-intérêts punitifs n’est-il toujours pas introduit ?”
Presque aucun. Parce que ça ne clique pas.
Les médias pensent peut-être réaliser la justice en frappant Coupang. Mais c’est une illusion. Ce que les médias devraient vraiment faire, ce n’est pas frapper une seule entreprise, Coupang, mais creuser le problème du système qui permet cette répétition.
Il y a une maison cambriolée. Le travail des médias est-il de fouiller le passé du propriétaire, de révéler comment il fermait mal sa porte d’habitude et d’écrire des articles doutant de sa personnalité ? Ou est-ce de traquer pourquoi le système de sécurité de tout le quartier est laxiste, pourquoi la police ne patrouille pas correctement, pourquoi la loi punissant les voleurs est si faible ?
Actuellement, les médias se consacrent à la première option. La seconde ne les intéresse pas.
Il est temps d’arrêter le “lynchage public” et de changer le système
La colère du peuple est la même.
650 000 personnes se sont réunies dans le café d’action collective. Si chacun reçoit 1 million de wons, cela fait 650 milliards. Les avocats parlent de “procès historique”.
Mais regardez le passé.
Auction 146 000 personnes, défaite totale. Pas un centime. Nate des dizaines de milliers, défaite totale. Pas un centime. Sociétés de cartes, des centaines de milliers, 100 000 wons par personne. Après des années de procès.
Le procès Coupang risque d’avoir un résultat similaire. La police a annoncé lors de son enquête complète qu’elle n’avait pas encore découvert de cas suspects de dommages secondaires. Si c’est vrai ? La probabilité que le tribunal nie la responsabilité d’indemnisation en disant “les dommages concrets ne sont pas prouvés” augmente.
Qu’obtiendront les 650 000 participants à l’action collective dans quelques années ? Probablement 100 000 wons. Et ce sera une chance s’ils les reçoivent.
Où serait-il plus efficace d’utiliser cette énergie ? Participer à l’action collective contre Coupang ou faire pression sur les députés pour “introduire le système de dommages-intérêts punitifs” ?
Bien sûr, il faut faire les deux. Demander des comptes à Coupang est important. Mais si on ne change pas le système, la même chose se répétera. Si on finit avec 100 000 wons de Coupang, l’année prochaine, quand une autre entreprise se fera piller, il faudra encore participer à une action collective. Attendre encore des années pour recevoir encore 100 000 wons.
Est-ce ce que nous voulons ?
Dans les grandes affaires de fuite de données passées, le grand actionnaire a-t-il déjà assisté à une audition ?
Lors de l’affaire des cartes, les grands actionnaires de KB Financial, Nonghyup Financial et Lotte ont-ils assisté ? Lors de l’affaire Nate, le grand actionnaire du groupe SK a-t-il assisté ? Lors de l’affaire SK Telecom, le président Chey Tae-won a-t-il été convoqué ?
Si la réponse contre Coupang est particulièrement ferme, est-ce parce que Coupang a commis une faute plus grave que les autres ? Ou parce que Coupang est une cible “facile à frapper” ?
Coupang est une entité américaine. Kim Beom-seok est citoyen américain. Il ne réside pas en Corée. L’expression “étranger aux cheveux noirs” ressort. On peut exercer sur Coupang une pression qu’on ne peut pas facilement exercer sur les chefs de chaebols nationaux.
Politiquement aussi, Coupang est une cible “sûre”. Frapper Coupang ne provoque pas de grand retour de bâton politique. Au contraire, on peut gagner en popularité. Frapper SK ou Samsung avec la même intensité ? C’est une autre histoire.
L’une des raisons pour lesquelles la critique contre Coupang est si intense est l’image négative que Coupang a accumulée. Accidents mortels dans les centres logistiques, soupçons d’abus de sous-traitance, procès contre les médias, controverse sur le recrutement de hauts fonctionnaires. Ce “karma” a conduit à une critique explosive dans cette affaire.
Cependant, l’environnement de travail et la fuite de données sont des questions distinctes. L’abus de sous-traitance et la négligence de la sécurité sont aussi distincts. Les fautes passées ne justifient pas une critique excessive sur l’incident actuel. La logique “Coupang est une mauvaise entreprise donc on peut la frapper à volonté” est dangereuse.
Coupang a fauté donc doit être critiqué. C’est vrai. Mais cela ne doit pas s’arrêter à critiquer “seulement” Coupang. Il faut pointer du doigt les problèmes du système ensemble. Sinon, nous répéterons l’action de trouver une nouvelle “mauvaise entreprise” et de lui jeter des pierres à chaque fois.
Kim Beom-seok est “grand actionnaire”, pas “PDG”.
Il a démissionné de ses postes d’administrateur et de PDG de l’entité coréenne. Le PDG actuel de l’entité coréenne existe séparément. Coupang, Inc., établie au Delaware aux États-Unis, est la société holding mère, et Kim Beom-seok est le président de son conseil d’administration. Il est clair qu’il est le dirigeant de facto détenant plus de 70% des droits de vote via des actions de classe B.
La loi sur le témoignage parlementaire stipule que “quiconque reçoit une demande de comparution en tant que témoin à l’Assemblée nationale doit s’y conformer”. Légalement, Kim Beom-seok a aussi l’obligation de comparaître. Son refus mérite d’être critiqué.
Mais posons la question ici aussi. Qu’est-ce qui change si on interdit l’entrée à Kim Beom-seok ?
L’interdiction d’entrée de Yoo Seung-jun était une sanction sociale pour l’évasion du service militaire. L’interdiction d’entrée de Kim Beom-seok est une sanction pour quoi ? Non-comparution à une audition ? Est-ce une affaire aussi grave que l’évasion militaire ?
Bien sûr, ignorer l’Assemblée nationale est une faute. Mais une mesure extrême comme l’interdiction d’entrée est-elle une réponse appropriée ? Est-ce une mesure pour résoudre le problème ou une mesure pour un spectacle politique ?
Si Kim Beom-seok est interdit d’entrée, les médias en feront leurs gros titres. Le peuple exultera. Les députés se féliciteront : “Nous l’avons fait”.
Et les fuites de données personnelles continueront. Le système ne changera pas.
Nous sommes toujours comme ça.
Quand un incident éclate, nous sommes en colère. Les médias braquent les projecteurs sur une entreprise ou une personne spécifique. L’Assemblée nationale tient une audition. Les citoyens participent à des actions collectives. Les critiques pleuvent sur les réseaux sociaux.
Et quelques mois plus tard, on oublie. Quand l’incident suivant éclate, on est de nouveau en colère. On cherche une autre cible et on jette des pierres. Le système ne change pas. La loi n’est pas révisée.
Les victimes d’Auction n’ont rien reçu. Les victimes de Nate n’ont rien reçu. Les victimes des cartes ont reçu 100 000 wons. Combien recevront les victimes de Coupang ? Probablement pareil.
Entre-temps, une autre fuite éclatera dans une autre entreprise. Nous serons encore en colère. Une autre audition aura lieu. Une autre action collective commencera.
Et le système ne changera pas.
Frapper Coupang est facile. Crier pour interdire l’entrée à Kim Beom-seok est facile. Participer à une action collective est facile.
Changer le système est difficile. Faire pression sur l’Assemblée nationale pour introduire des dommages-intérêts punitifs est difficile. Faire pression sur le gouvernement pour renforcer les capacités de la Commission de protection des données est difficile. Exiger que le système de certification ISMS devienne substantiel est difficile.
Nous ne faisons que ce qui est facile.
Critiquer sans proposer d’alternative est irresponsable.
Que faut-il faire ?
Il faut introduire le système de dommages-intérêts punitifs. Actuellement, l’amende n’est qu’un “coût” pour l’entreprise. Il est moins cher de payer l’amende que d’investir dans la sécurité. Il faut changer cette structure. Il faut pouvoir imposer 10%, 20% du chiffre d’affaires en amende.
Il faut renforcer les capacités de surveillance de la Commission de protection des informations personnelles. Actuellement, elle manque de budget et de personnel. Elle est incapable de surveiller des milliers d’entreprises. Il faut augmenter le budget et recruter des experts.
Il faut rendre substantiel le système de certification ISMS. Actuellement, l’ISMS se limite à une procédure formelle. Des fuites massives se produisent même dans des entreprises certifiées. Il faut renforcer les critères et rendre obligatoires les inspections a posteriori.
Il faut introduire le système de recours collectif (class action à l’américaine). Actuellement, l’action collective nécessite la participation individuelle de chaque victime. Cela coûte beaucoup de temps et d’argent. Si le système de recours collectif est introduit, une association de consommateurs peut intenter un procès au nom de tous.
Lequel de ces points est discuté à l’Assemblée nationale ? Lequel est une priorité de la politique gouvernementale ? Lequel reçoit l’attention des médias ?
Je ne sais pas. Je ne vois que des nouvelles tapant sur Coupang.
Je suis aussi une victime. L’un des 33,7 millions. Je suis en colère.
Mais ma colère ne se dirige pas seulement vers Coupang.
Elle se dirige vers les médias qui s’imaginent réaliser la justice en frappant Coupang. Elle se dirige vers les députés qui pensent avoir travaillé en hurlant lors de l’audition. Elle se dirige vers nous-mêmes qui sommes satisfaits d’avoir “fait quelque chose” en participant à l’action collective.
Coupang a fauté. Ils doivent être critiqués. Ils doivent assumer la responsabilité.
Mais si on finit juste en frappant Coupang, on ne changera rien. L’année prochaine, si une autre entreprise se fait piller, on frappera encore cette entreprise. Une autre audition aura lieu. Une autre action collective commencera. On sera encore en colère. On oubliera encore.
Un voleur est entré. Il est vrai que le propriétaire a négligé de fermer la porte. Mais n’est-il pas plus important d’attraper le voleur et de renforcer le système de sécurité de tout le quartier ?
Actuellement, nous sommes occupés à exécuter publiquement le propriétaire. Personne ne s’intéresse à où est passé le voleur. On ne touche même pas au système de sécurité.
C’est la résolution de problèmes à la coréenne. On ne touche pas au système, on met une personne sur la place publique et on la lynche.
La foule aime toujours mettre quelqu’un sur la place et le lyncher. Aujourd’hui c’est Coupang. Demain ce sera quelqu’un d’autre. Les spectateurs de la place applaudissent, déversent leur colère et s’imaginent que la justice a été rendue.
Mais la justice se réalise quand le système change. Quand la prochaine victime n’apparaît pas.
Le lynchage public ne change rien. Mes informations ne reviendront pas. On n’empêchera pas les prochains 33,7 millions.
On essaie seulement de punir sans améliorer le système. La foule aime toujours le lynchage.
Jusqu’à quand ?
![[Chronique] Vers un taux de mise en chantier de 0% : Quand la sécurité paralyse l'économie](/_astro/column_construction_regulation_safety_2025.BZH8VXpl_26pIV0.webp)
![[Chronique] Le piège de la réglementation et des intérêts : La leçon de Gwangju et l'avenir de la Corée](/_astro/column_gwangju_regulation_economy_2025.Dem4BzGr_Z2ac0iT.webp)
