La Commission coréenne de protection des informations personnelles (PIPC) a annoncé le 25 juin avoir infligé une amende de 210 millions de wons coréens à la plateforme d'échange de crypto-monnaies Bithumb pour violation des règles de transfert transfrontalier d'informations personnelles en vertu de la Loi sur la protection des informations personnelles, dans deux cas d'activités : le partage de carnets d'ordres et le transfert d'actifs virtuels. L'amende pour le partage de carnets d'ordres s'élève à 120 millions de wons coréens, et celle pour le transfert d'actifs virtuels à des fins de lutte contre le blanchiment d'argent (AML) à 90 millions de wons coréens.
Amende de 120 millions de wons coréens pour le partage de carnets d'ordres : le consentement visait Stellar, mais les données ont été effectivement transmises à BingX
L'enquête de la PIPC a été déclenchée par des questions soulevées lors de l'audit parlementaire de l'année dernière (2025). L'enquête a révélé qu'entre septembre et novembre 2025, Bithumb a procédé à des transferts transfrontaliers d'informations personnelles lors du partage de carnets d'ordres pour le marché USDT (Tether) avec des plateformes étrangères.
La violation spécifique est la suivante : les utilisateurs ont été invités à donner leur consentement séparé pour le transfert de leurs informations personnelles à la plateforme Stellar, mais l'enquête a montré que les numéros de membres et les informations de commande étaient en réalité transmis à un système exploité par une autre plateforme (bingx.com), et non à l'entité mentionnée dans le formulaire de consentement. La PIPC a infligé une amende de 120 millions de wons coréens pour cette infraction.
Violation pour transfert d'actifs virtuels à des fins AML : fourniture d'informations personnelles à 13 plateformes étrangères sans consentement séparé
L'enquête a également révélé que, pour remplir ses obligations AML lors du transfert d'actifs virtuels vers des plateformes étrangères, Bithumb a fourni à 13 plateformes étrangères les noms, adresses de portefeuille et autres détails des expéditeurs et destinataires, sans satisfaire pleinement aux exigences légales de transfert transfrontalier en vertu de la Loi sur la protection des informations personnelles, notamment en n'obtenant pas le consentement séparé des personnes concernées. La PIPC a infligé une amende de 90 millions de wons coréens pour cette infraction.
La PIPC a déclaré : « Bien que nous reconnaissions la nécessité de fournir des informations personnelles pour lutter contre le blanchiment d'argent, le transfert transfrontalier d'informations personnelles est étroitement lié au droit à l'autodétermination des personnes concernées, et doit donc strictement respecter les exigences et procédures légales. »
La Commission de protection des informations personnelles publie le « Guide de protection des informations personnelles pour les services blockchain »
Sur la base de cette enquête, la PIPC a élaboré le « Guide de protection des informations personnelles pour les services blockchain », qui prend en compte les caractéristiques techniques de la blockchain. Le guide couvre des mesures de protection pour trois caractéristiques techniques : les mesures visant à prévenir les fuites et le traçage des informations en chaîne en raison de la transparence ; les mesures visant à gérer le partage d'informations entre participants en raison de la décentralisation ; et les voies de conformité pour la destruction des informations personnelles en raison de l'immuabilité.
Foire aux questions
Quelle est la violation spécifique du partage de carnets d'ordres de Bithumb ?
Entre septembre et novembre 2025, lors du partage des carnets d'ordres du marché USDT, Bithumb a demandé aux utilisateurs de donner leur consentement séparé pour un transfert à la plateforme Stellar, mais l'enquête a révélé que les numéros de membres et les informations de commande étaient effectivement transmis au système exploité par bingx.com, contrairement à l'entité listée dans le formulaire de consentement. La PIPC a infligé une amende de 120 millions de wons coréens pour cette infraction.
L'objectif AML peut-il exonérer des exigences de conformité de transfert transfrontalier de la Loi sur la protection des informations personnelles ?
D'après cette sanction de la PIPC, l'objectif AML n'exonère pas automatiquement des exigences légales de transfert transfrontalier. La PIPC a clairement indiqué que même si la fourniture d'informations personnelles est destinée à lutter contre le blanchiment d'argent, elle doit toujours respecter strictement les exigences et procédures légales de la Loi sur la protection des informations personnelles, notamment l'obtention du consentement séparé des personnes concernées.
Pour quelles trois caractéristiques techniques le « Guide de protection des informations personnelles pour les services blockchain » établit-il des mesures de protection ?
Le guide cible trois caractéristiques techniques de la blockchain : (1) la transparence — empêcher les fuites et le traçage dues à la publicité des informations en chaîne ; (2) la décentralisation — réguler les mécanismes de partage d'informations entre participants ; (3) l'immuabilité — établir des voies de conformité pour la destruction des informations personnelles.
