Le 12 février 2026, l’Assemblée nationale de Corée du Sud a adopté des amendements à la loi sur la protection des informations personnelles (« PIPA ») autorisant des amendes administratives pouvant aller jusqu’à 10 % du chiffre d’affaires total d’une entreprise dans certains cas de violation de données de haute gravité.
Ces changements font suite à une série de violations de données à grande échelle dans les secteurs des télécommunications, des plateformes et des services financiers.
Dans le cadre du cadre révisé, la Commission de protection des informations personnelles (« PIPC ») peut demander des amendes allant jusqu’à 10 % du chiffre d’affaires total lorsqu’une entreprise :
- commet et réitère une infraction intentionnellement ou par négligence grave dans un délai de trois ans ;
- se livre à une conduite intentionnelle ou par négligence grave affectant 10 millions de personnes ou plus ; ou
- ne se conforme pas à une ordonnance corrective du PIPC et une violation se produit.
La loi autorise également des réductions d’amendes, qui seront détaillées par décret présidentiel, lorsque les entreprises démontrent des investissements éligibles dans la protection de la vie privée, y compris en termes de personnel, de budget et de mesures techniques.
Les obligations de déclaration sont étendues pour couvrir la contrefaçon, l’altération et les dommages et, dans certains cas, peuvent nécessiter une notification lors de l’identification d’une possibilité significative d’incident. Les modifications désignent le propriétaire ou le représentant de l’entreprise comme la « personne responsable en dernier ressort » de la protection des données et exigent que certaines organisations déclarent les désignations de responsables de la protection de la vie privée au PIPC.
Les modifications entrent en vigueur six mois après leur promulgation, sous réserve des règles transitoires régissant le nouveau plafond des amendes.
