La Corée du Sud serre la vis sur la protection des données dans le secteur crypto. Bithumb, l’un des plus grands exchanges du pays, vient d’écoper d’une sanction financière pour avoir transmis des informations personnelles d’utilisateurs à des entités étrangères sans leur accord.
Une décision qui intervient dans un contexte de durcissement réglementaire mondial autour des plateformes d’échange de cryptomonnaies — et qui pourrait faire jurisprudence dans la région.
Derrière l’amende, une question de fond : jusqu’où les exchanges peuvent-ils exploiter les données de leurs clients ?
Une amende de 136 000 $ pour violation des règles de protection des données
Les autorités sud-coréennes ont ordonné à Bithumb de s’acquitter d’une pénalité d’environ 136 000 dollars après avoir établi que la plateforme avait partagé des données personnelles d’utilisateurs avec des tiers situés à l’étranger, sans avoir obtenu leur consentement préalable. Cette décision émane des régulateurs chargés de faire respecter la loi sur la protection des informations personnelles (PIPA), le cadre juridique de référence en Corée du Sud en matière de données privées.
La PIPA impose des obligations strictes aux entreprises qui traitent des données personnelles : toute transmission transfrontalière doit faire l’objet d’une information claire et d’un accord explicite de la part des utilisateurs concernés. En contournant cette exigence, Bithumb a exposé ses clients à un risque potentiel de divulgation non contrôlée de leurs informations — nom, coordonnées, historique de transactions — à des entités dont la juridiction et les pratiques de sécurité peuvent différer significativement.
Si le montant de l’amende peut paraître modeste au regard du volume d’activité de Bithumb, la portée symbolique de la sanction est bien plus importante. Elle envoie un signal clair aux acteurs du secteur : la conformité en matière de données personnelles n’est pas optionnelle, même pour les exchanges établis.
Bithumb dans le viseur des régulateurs : un historique de controverses
Ce n’est pas la première fois que Bithumb se retrouve sous pression réglementaire. La plateforme, fondée en 2014, a traversé plusieurs crises au fil des années : piratages majeurs en 2018 et 2019 ayant entraîné des pertes de dizaines de millions de dollars, enquêtes fiscales, et accusations de manipulation de marché. Autant d’épisodes qui ont terni la réputation de l’exchange malgré sa position dominante sur le marché coréen.
La Corée du Sud figure parmi les marchés crypto les plus actifs au monde, avec un volume de trading régulièrement parmi les plus élevés à l’échelle globale. Cette intensité d’activité attire logiquement une attention réglementaire accrue. Depuis l’entrée en vigueur de la loi sur les actifs virtuels (VASP Act) en 2021, les autorités coréennes ont considérablement renforcé leur supervision des exchanges — exigeant notamment des enregistrements officiels, des audits de sécurité et une conformité stricte aux règles anti-blanchiment.
La sanction infligée à Bithumb s’inscrit dans cette dynamique de surveillance renforcée. Elle illustre que les régulateurs coréens n’hésitent plus à cibler les grandes plateformes, y compris sur des sujets qui dépassent le strict cadre financier pour toucher aux droits fondamentaux des utilisateurs.
Un avertissement pour tout le secteur des exchanges crypto
Au-delà du cas Bithumb, cette affaire soulève une problématique structurelle pour l’ensemble de l’industrie des exchanges centralisés (CEX). Ces plateformes collectent des volumes massifs de données KYC (Know Your Customer) — passeports, justificatifs de domicile, données biométriques — dans le cadre des obligations réglementaires anti-blanchiment. La question de la gestion, du stockage et du transfert de ces données devient donc un enjeu de conformité majeur.
À l’heure où le RGPD européen continue de faire école à l’international, et où des régimes similaires émergent en Asie, les exchanges qui opèrent sur plusieurs juridictions doivent impérativement adapter leurs pratiques. Partager des données utilisateurs avec des partenaires étrangers — prestataires techniques, filiales, régulateurs tiers — sans cadre contractuel solide et sans consentement explicite expose désormais à des sanctions concrètes.
Pour les utilisateurs de plateformes centralisées, ce type d’affaire rappelle l’importance de vérifier les politiques de confidentialité des exchanges qu’ils utilisent, et de comprendre précisément quelles données sont collectées et à quelles fins elles peuvent être transmises. La transparence des plateformes sur ce sujet devient un critère de sélection à part entière.
AVIS DE NON RESPONSABILITÉ
Cet article est publié à titre indicatif et ne doit pas être considéré comme un conseil en investissement. Certains des partenaires présentés sur ce site peuvent ne pas être régulés dans votre pays. Il est de votre responsabilité de vérifier la conformité de ces services avec les régulations locales avant de les utiliser.
