PIPA Corée du Sud : Guide de conformité en matière de protection des données

La loi sud-coréenne sur la protection des informations personnelles (PIPA — 개인정보 보호법) est largement considérée comme l'une des lois sur la protection des données les plus strictes au monde. De portée complète, détaillée dans les exigences techniques et appliquée de manière agressive par la Commission de protection des informations personnelles (PIPC — 개인정보보호위원회), la PIPA a des implications significatives pour toute entreprise opérant ou desservant le marché hautement numérisé de la Corée du Sud.

Adoptée en 2011 et substantiellement modifiée en 2023, la PIPA s'aligne désormais plus étroitement sur les normes internationales – y compris le RGPD de l'UE – tout en conservant les caractéristiques coréennes distinctives telles que les exigences de chiffrement obligatoires, les normes techniques spécifiques et une structure d'application unifiée sous le PIPC suite à l'intégration des rôles d'application de la vie privée de la Commission coréenne des communications (KCC) et de l'Agence coréenne de sécurité Internet et de sécurité (KISA).

Points clés à retenir

• PIPA s'applique à toutes les entités publiques et privées traitant des informations personnelles en Corée du Sud, avec une portée extraterritoriale
• Les informations sensibles (données biométriques, santé, casier judiciaire, localisation, etc.) nécessitent un consentement explicite — la norme de consentement est plus stricte que dans la plupart des autres juridictions
• La politique de confidentialité doit être publiée publiquement et approuvée par les directives d'audit annuel du PIPC
• Notification de violation de données requise dans les 72 heures (5 jours pour certains incidents) à PIPC
• Transferts transfrontaliers interdits sans consentement, garanties contractuelles ou détermination de l'adéquation
• PIPC peut imposer des amendes allant jusqu'à 3 % du chiffre d'affaires total ; des sanctions pénales allant jusqu'à 5 ans d'emprisonnement
• Normes techniques obligatoires : algorithmes de chiffrement spécifiques (AES-256 pour les données sensibles), exigences de contrôle d'accès, directives de pseudonymisation
• Les opérateurs étrangers ayant des utilisateurs sud-coréens doivent désigner un représentant local

---

Cadre et portée du PIPA

Couverture

La PIPA s’applique à :

• Traiteurs d'informations personnelles : toute institution publique, société, organisation ou individu qui traite des informations personnelles à des fins commerciales.
• Les entités du secteur public (agences gouvernementales) et du secteur privé
• Opérateurs étrangers : entités non établies en Corée du Sud qui fournissent des biens ou des services aux résidents sud-coréens, ou qui surveillent le comportement des résidents sud-coréens (articles 2 et 39-11)

Cette portée extraterritoriale – ajoutée dans les amendements de 2023 – reflète l'article 3(2) du RGPD et oblige les opérateurs étrangers à désigner un représentant sud-coréen.

Définition des informations personnelles

Les informations personnelles (개인정보) en vertu de la PIPA désignent les informations sur une personne vivante qui permettent l'identification de cette personne (y compris la combinaison avec d'autres informations), notamment :

• Nom, numéro d'enregistrement (주민등록번호), image
• Informations qui peuvent être facilement combinées avec d'autres informations pour identifier un individu

Informations pseudonymes (가명정보) : informations personnelles traitées de manière à rendre l'identification impossible sans informations supplémentaires. Peut être utilisé à des fins de compilation statistique, de recherche et d’archivage sans consentement, sous réserve de restrictions spécifiques.

Informations anonymisées : informations qui ne peuvent en aucun cas être réidentifiées – il ne s'agit plus d'informations personnelles et en dehors du champ d'application de PIPA.

---

Informations sensibles

PIPA définit les informations sensibles (민감정보) comme nécessitant un consentement explicite pour la collecte et l'utilisation, avec des exceptions limitées. Les catégories comprennent :

• Idéologie, croyance
• Rejoindre ou quitter un syndicat ou un parti politique
• Opinions politiques
• Informations sanitaires et médicales
• Vie sexuelle et orientation sexuelle
• Antécédents criminels (crimes et peines)
• Informations biométriques permettant d'identifier les individus
• Origine raciale ou ethnique
• Informations financières (numéros de compte, numéros de carte – classés comme informations d'identification uniques nécessitant un traitement spécial)

Numéros d'enregistrement de résident (주민등록번호 — carte d'identité nationale coréenne) : traité avec la plus haute protection. La collecte est généralement interdite sauf là où la loi l’autorise expressément. Le traitement et la fourniture à des tiers sont strictement réglementés. Il s’agit de l’une des protections de numéro d’identification national les plus strictes au monde.

---

Bases juridiques pour le traitement des informations personnelles

L'article 15 de la PIPA prévoit cinq fondements juridiques pour la collecte et l'utilisation d'informations personnelles :

1. Consentement préalable de la personne concernée
2. Dispositions particulières de la loi, ou nécessaires au respect des obligations légales
3. Intérêts clairs et significatifs de la personne concernée ou d'un tiers lorsqu'il n'est pas possible d'obtenir un consentement préalable (intérêts vitaux)
4. Nécessaire pour accomplir les tâches conférées par les lois et règlements aux institutions publiques
5. Intérêts légitimes du sous-traitant des informations personnelles — lorsque le traitement est clairement nécessaire pour les intérêts légitimes du sous-traitant, dans une portée raisonnable

Exigences en matière de consentement :

• Informée : la personne concernée doit être informée des éléments collectés, de la finalité, de la durée de conservation et du droit de refuser son consentement avec conséquences
• Volontaire : ne peut pas conditionner la fourniture de biens/services au consentement à un traitement facultatif
• Spécifique : consentement séparé pour chaque finalité
• Preuve écrite : conserver la preuve du consentement

---

Exigences de la politique de confidentialité

L'article 30 exige que les processeurs d'informations personnelles créent et publient publiquement une politique de confidentialité (개인정보 처리방침). Contenu requis :

• Éléments d'informations personnelles traitées
• Finalité du traitement
• Durée de conservation (durée de destruction)
• Si fournis à des tiers, les coordonnées des tiers, les éléments fournis, le but et la période de conservation
• Questions concernant le mandat de traitement (sous-traitants)
• Droits et obligations des personnes concernées et comment les exercer
• Mesures prises pour assurer la sécurité des informations personnelles
• Nom et coordonnées du délégué à la protection des informations personnelles (PIPO — 개인정보 보호책임자)
• Service traitant les demandes de droits des personnes concernées
• Toute information de transfert à l'étranger
• Dispositifs automatiques de collecte (cookies)

Mise à jour de la politique de confidentialité : les modifications doivent être notifiées à l'avance. Le PIPC fournit des lignes directrices modèles en matière de politique de confidentialité et une évaluation annuelle : les entreprises dont les résultats sont inférieurs à une norme minimale reçoivent des recommandations d'amélioration.

---

Délégué à la protection des informations personnelles (PIPO)

L'article 31 exige que tous les processeurs d'informations personnelles désignent un délégué à la protection des informations personnelles (개인정보 보호책임자). Le PIPO doit :

• Être un cadre supérieur ayant autorité et responsabilité en matière de confidentialité
• Recevoir les plaintes concernant le traitement des informations personnelles et les traiter
• Contrôler la conformité
• Gérer la formation et la sensibilisation
• Effectuer des évaluations des risques liés à la vie privée

Critères pour le PIPO : Doit avoir une autorité substantielle au sein de l'organisation – pas seulement une désignation nominale. Le PIPO doit avoir le pouvoir de diriger les mesures techniques, d'accéder à tous les systèmes d'informations personnelles et de communiquer directement avec les dirigeants.

Opérateurs étrangers : doivent désigner un représentant national en Corée du Sud responsable des fonctions PIPO.

---

Exigences techniques et de sécurité

La PIPA et ses règlements d'application (Personal Information Safety Measures Standards — 개인정보의 안전성 확보조치 기준) précisent des exigences techniques détaillées — parmi les plus prescriptives au monde :

Exigences de cryptage :

• Mots de passe : doivent être cryptés à l'aide d'un algorithme de cryptage unidirectionnel ; stockage en texte brut interdit
• Numéros d'enregistrement des résidents, informations biométriques et financières : doivent être cryptés à l'aide d'AES-256 ou équivalent
• Cryptage de transmission : TLS/SSL requis pour toutes les informations personnelles transmises sur les réseaux
• Stockage des appareils mobiles : cryptage requis pour les informations personnelles sur les appareils mobiles

Exigences en matière de contrôle d'accès :

• ID utilisateur uniques ; comptes partagés interdits
• Contrôle d'accès basé sur la nécessité de la tâche (moindre privilège)
• Délai d'expiration de la session après 30 minutes maximum d'inactivité pour les services Web
• Verrouillage du compte après 5 tentatives de connexion infructueuses
• Authentification à deux facteurs requise pour l'accès administratif aux systèmes d'informations personnelles

Gestion des journaux d'accès :

• Tous les accès aux bases de données d'informations personnelles doivent être enregistrés
• Les journaux doivent inclure : l'ID d'accès, la date et l'heure, le type d'opération (créer, lire, mettre à jour, supprimer)
• Les journaux doivent être conservés pendant au moins 1 an (3 ans pour les informations sensibles et sanitaires)
• Les journaux doivent être protégés contre toute falsification ; détection des anomalies implémentée

Séparation du réseau :

• Pour les processeurs traitant les informations personnelles de plus de 100 000 personnes ou traitant des informations sensibles, une séparation du réseau entre les systèmes accessibles sur Internet et les systèmes d'informations personnelles internes est requise.
• La configuration du pare-feu doit être documentée

Gestion des vulnérabilités :

• Correctifs de sécurité appliqués dans les 6 mois suivant la sortie du fournisseur pour les systèmes d'exploitation et les principaux logiciels
• Évaluations des vulnérabilités de sécurité au moins une fois par an

---

Droits des personnes concernées

PIPA accorde aux personnes concernées des droits qui doivent être respectés dans un délai déterminé :

---

Transfert de données transfrontalier

L’article 28-8 (amendement 2023) encadre les transferts internationaux de données :

Mécanismes autorisés :

1. Consentement : consentement explicite et préalable après divulgation : des informations sur le destinataire, l'objet du transfert, les éléments transférés, la période de conservation et les informations sur les droits de refus.
2. Détermination de l'adéquation : Transfert vers des pays désignés par le PIPC comme bénéficiant d'une protection adéquate
3. Clauses contractuelles types : Utilisation de SCC approuvés par PIPC avec le destinataire étranger
4. Règles d'entreprise contraignantes : approuvées par PIPC pour les transferts intragroupe
5. Nécessité contractuelle : transfert nécessaire au contrat avec la personne concernée
6. Obligation légale : requis par un traité ou un accord international

Liste d'adéquation du PIPC : Le PIPC développe sa liste de pays adéquats. Actuellement, l’UE entretient une relation d’adéquation réciproque avec la Corée du Sud. Le Japon est en discussion.

Exigences de notification pour les transferts fondés sur le consentement : la divulgation obligatoire avant d'obtenir le consentement comprend : le nom du pays étranger, le nom et le contact du destinataire, le but du transfert, les éléments transférés, la période de conservation/utilisation, ainsi que les informations sur le refus du consentement et les conséquences.

---

Notification de violation

L'article 34 exige une notification dès la découverte d'une perte, d'un vol ou d'une fuite d'informations personnelles :

Notification au PIPC (article 34(3)) : requise en cas de perte, de vol ou de fuite d'informations personnelles - dans les 72 heures pour les incidents impliquant :

• 1 000 personnes concernées ou plus
• Informations sensibles ou informations d'identification uniques
• Tout montant pour lequel une violation systémique est suspectée

Pour les autres incidents : notification à l'autorité de protection des données (KISA exploite un portail de signalement pour le compte de PIPC) dans un délai de 5 jours ouvrables.

Notification individuelle (article 34, paragraphe 1) : requise sans délai injustifié en cas de perte, de vol ou de fuite. Doit inclure :

• Éléments d'informations personnelles perdues, volées ou divulguées
• Heure de l'incident (si connue)
• Actions que les personnes concernées peuvent entreprendre
• Coordonnées du responsable du traitement des informations personnelles

Notification à PIPC : utilisez le portail de rapport d'incident PIPC/KISA (privacy.go.kr).

---

Application et sanctions du PIPC

La Commission de protection des informations personnelles (PIPC) a été renforcée en tant que commission indépendante en 2020 et renforcée par les modifications de 2023.

Sanctions administratives :

• Des amendes allant jusqu'à 3 % des ventes/revenus totaux pour les violations impliquant des informations personnelles collectées sans base légitime ou pour fourniture non autorisée à des tiers.
• Des amendes allant jusqu'à 3 % des ventes totales en cas de violations graves des mesures techniques de protection
• Ordres correctifs : PIPC peut ordonner des modifications opérationnelles, la destruction de données, des avis publics

Sanctions pénales (articles 70 à 74) :

• Collecte d'informations personnelles sans consentement : jusqu'à 5 ans d'emprisonnement + amendes pouvant aller jusqu'à 50 millions de ₩
• Fourniture à des tiers sans consentement : jusqu'à 5 ans d'emprisonnement + amendes jusqu'à 50 millions de ₩
• Violation de l'interdiction de traitement du numéro d'enregistrement de résident : jusqu'à 5 ans d'emprisonnement + amendes pouvant aller jusqu'à 100 millions de ₩
• Violations du courtier en données : jusqu'à 10 ans d'emprisonnement

Application récente : Le PIPC a infligé une amende de 6,7 milliards de yens à Meta (5 millions de dollars) en 2022 pour avoir collecté des informations sensibles sans consentement. Samsung Electronics a reçu plusieurs actions d'orientation PIPC. Kakao a fait l'objet d'une enquête pour ses pratiques de traitement des données. L’application de la loi est active et en expansion.

---

Liste de contrôle de conformité PIPA

• Applicabilité du PIPA confirmée, y compris le statut d'opérateur étranger
• Représentant sud-coréen désigné (opérateurs étrangers)
• Inventaire des informations personnelles complété, y compris l'identification des informations sensibles
• Évaluation de l'utilisation des numéros d'enregistrement des résidents — collecte supprimée, sauf si la loi l'exige
• Base juridique documentée pour chaque activité de traitement
• Formulaires de consentement examinés : spécifiques, éclairés, volontaires, chaque objectif étant distinct
• Politique de confidentialité publiée sur le site Web avec tous les éléments requis
• PIPO désigné : cadre supérieur doté de l'autorité appropriée
• Contrôles d'accès mis en place : identifiants uniques, délai d'expiration de session (30 min), verrouillage après 5 échecs
• Cryptage mis en œuvre : AES-256 pour les données sensibles/biométriques/financières ; TLS pour la transmission ; unidirectionnel pour les mots de passe
• Journaux d'accès activés et configurés (conserver minimum 1 an, 3 ans pour les sensibles) -[ ] Séparation du réseau mise en œuvre si vous traitez plus de 100 000 individus
• Procédures relatives aux droits des personnes concernées : réponse sous 10 jours pour accès/rectification/suspension
• Mécanismes de transfert transfrontalier en place pour les transferts à l'étranger
• Procédure de notification de violation dans les 72 heures à PIPC
• Procédure de notification de violation individuelle documentée
• Formation des employés sur les obligations PIPA terminée
• Évaluation annuelle de la vulnérabilité programmée

---

Questions fréquemment posées

Pourquoi la PIPA est-elle considérée comme l'une des lois sur la protection des données les plus strictes au monde ?

PIPA combine un champ d'application complet (s'appliquant à toutes les entités, y compris les petites entreprises), des exigences strictes en matière de consentement (explicites, spécifiques à un objectif, volontaire), des normes techniques prescriptives (algorithmes de cryptage obligatoires, exigences spécifiques en matière de journaux d'accès, séparation des réseaux), une application stricte (sanctions pénales pouvant aller jusqu'à 10 ans, amendes administratives de 3 % des revenus) et l'interdiction d'utiliser les numéros d'enregistrement nationaux des résidents – l'une des protections d'identité nationale les plus strictes au monde. Le PIPC a démontré sa volonté d’imposer des amendes aux grandes entreprises nationales et étrangères. De plus, les réglementations d'application détaillées de PIPA laissent moins de place à d'autres approches de conformité que le cadre fondé sur les principes du RGPD.

Quelles sont les exigences de chiffrement spécifiques en vertu de PIPA ?

Les règlements d'application de la PIPA (Personal Information Safety Measures Standards) précisent : (1) Les mots de passe doivent être stockés à l'aide d'une fonction de hachage unidirectionnelle (bcrypt, Argon2 ou algorithmes approuvés) – le texte brut ou le cryptage réversible est interdit ; (2) Les informations sensibles, les numéros d'enregistrement des résidents, les informations biométriques et les numéros de compte financier doivent être cryptés à l'aide d'AES-128 minimum (AES-256 recommandé) pour le stockage ; (3) Toutes les informations personnelles transmises sur les réseaux doivent utiliser TLS 1.2 ou supérieur ; (4) Les informations personnelles sur les appareils mobiles doivent être cryptées ; (5) Pour les systèmes basés sur le cloud, le chiffrement de bout en bout est recommandé.

Qu'est-ce que les informations pseudonymes en vertu des modifications PIPA de 2023 ?

Les informations pseudonymisées (가명정보) ont été introduites dans l'amendement de 2020 (en vigueur en 2023) en tant que catégorie entre les informations personnelles et les informations anonymisées. Il s'agit d'informations personnelles traitées de telle sorte qu'une personne spécifique ne peut pas être identifiée sans l'utilisation d'informations supplémentaires, qui sont conservées séparément avec des mesures de sécurité. Les informations pseudonymes peuvent être utilisées sans consentement à des fins de compilation statistique, de recherche scientifique ou de préservation de documents publics, ce qui permet l'analyse des données tout en réduisant les risques liés à la vie privée. Les sous-traitants doivent : conserver les informations supplémentaires (tableau de mappage) séparément et en toute sécurité ; interdire les tentatives de réidentification ; conserver des enregistrements de pseudonymisation ; mettre en œuvre des mesures de sécurité techniques et administratives.

Comment fonctionne la base des « intérêts légitimes » de PIPA ?

La base des intérêts légitimes en vertu de la PIPA (article 15, paragraphe 1, point 6)) a été introduite dans les modifications de 2023. Il permet le traitement lorsque cela est clairement nécessaire pour les intérêts légitimes du sous-traitant, sans préjudice des droits des personnes concernées. Cela reflète les intérêts légitimes du RGPD, mais avec une application plus étroite : l'historique législatif de la PIPA indique que cela devrait être utilisé pour un traitement accessoire et supplémentaire plutôt que comme base générale remplaçant le consentement. Le sous-traitant doit documenter l'intérêt légitime, évaluer s'il prévaut sur les intérêts des personnes concernées et mettre en œuvre des garanties. Les informations sensibles ne peuvent pas être collectées/utilisées dans le cadre d’intérêts légitimes : elles nécessitent un consentement explicite ou une autorisation légale spécifique.

Qu'est-ce qui constitue une violation de données nécessitant une notification au PIPC dans les 72 heures ?

L'exigence de notification dans un délai de 72 heures s'applique lorsque : (1) 1 000 personnes concernées ou plus sont concernées par une perte, un vol ou une fuite ; (2) Des informations sensibles ou des informations d'identification uniques (numéros d'enregistrement de résident, numéros de passeport, numéros de permis de conduire, numéros d'enregistrement d'étranger) sont impliquées dans toute violation ; (3) La violation semble systémique (suggérant une vulnérabilité plus large). Les autres violations (touchant moins de 1 000 personnes disposant de données non sensibles) nécessitent une notification dans les 5 jours ouvrables. La notification doit être déposée via le portail de déclaration PIPC/KISA (privacy.go.kr). Une notification individuelle est requise, quelle que soit l’ampleur, dès la découverte d’une violation.

---

Prochaines étapes

Le PIPA de la Corée du Sud est un cadre de conformité exigeant qui nécessite des investissements dans les processus organisationnels et dans l'infrastructure technique. Pour les entreprises entrant sur le marché sud-coréen ou développant leurs opérations coréennes existantes, intégrer dès le départ la conformité PIPA dans votre architecture système – en particulier les exigences de chiffrement et de journalisation des accès – est nettement plus efficace que la mise à niveau.

L'équipe de mise en œuvre technologique d'ECOSIRE peut aider à concevoir des architectures conformes à PIPA, à mettre en œuvre les normes techniques spécifiques requises et à élaborer des processus de gestion de la confidentialité adaptés au marché sud-coréen.

En savoir plus : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. La PIPA a été considérablement modifiée et continue d’évoluer. Consultez un conseiller juridique coréen qualifié pour obtenir des conseils spécifiques à votre organisation.