Bithumb Crypto Exchange condamnée à une amende de 210 millions de wons pour partage non autorisé de données utilisateurs

• La Commission coréenne de protection des informations personnelles (PIPC) a infligé une amende de 210 millions de wons (136 000 $) à Bithumb pour violation des règles de transfert transfrontalier de données personnelles.
• Les violations ont eu lieu entre septembre et novembre 2025 lors du partage du carnet d'ordres USDT et des processus de retrait de crypto impliquant des exchanges étrangers.
• Le régulateur a également émis des ordres correctifs et publié de nouvelles directives sur la confidentialité des blockchains afin de renforcer la protection des données dans l'ensemble du secteur des actifs numériques.

La Commission coréenne de protection des informations personnelles (PIPC) a imposé une amende de 210 millions de wons (environ 136 000 $) à l'exchange de crypto-monnaies Bithumb, après avoir déterminé que la société avait transféré les informations personnelles de ses utilisateurs vers des plateformes étrangères sans respecter pleinement la loi coréenne sur la protection des informations personnelles.

Cette mesure d'exécution, annoncée le 24 juin, fait suite à une enquête réglementaire sur les pratiques de Bithumb en matière de traitement transfrontalier des données. En plus de l'amende financière, la commission a ordonné à l'exchange d'améliorer ses procédures de transfert à l'étranger des informations personnelles et de garantir le respect des exigences légales en matière de divulgation et de consentement.

La PIPC identifie deux violations distinctes de transfert de données

L'enquête a révélé qu'entre septembre et novembre 2025, Bithumb a transféré des informations d'utilisateurs lors du partage des données du carnet d'ordres du marché Tether (USDT) avec une plateforme de trading étrangère.

Selon la PIPC, les utilisateurs ont été informés que leurs informations personnelles seraient transférées vers Stellar Exchange et ont fourni un consentement séparé sur la base de cette divulgation. Cependant, le régulateur a constaté que les numéros d'identification des membres et les informations sur les ordres avaient été transmis à l'infrastructure exploitée par BingX, constituant ainsi une violation des exigences coréennes en matière de transfert transfrontalier de données. La commission a imposé une amende de 120 millions de wons pour la violation liée au partage du carnet d'ordres.

Par ailleurs, les enquêteurs ont constaté que Bithumb avait fourni les noms, adresses de portefeuille et autres informations requises des utilisateurs à 13 exchanges de crypto-monnaies étrangers lors du traitement des retraits de crypto à des fins de lutte contre le blanchiment d'argent (AML). Bien que le régulateur ait reconnu la nécessité de partager certaines informations pour satisfaire aux obligations AML, il a conclu que Bithumb n'avait pas obtenu le consentement séparé des utilisateurs requis pour les transferts à l'étranger en vertu de la loi sur la protection des informations personnelles. Cette deuxième violation a entraîné une amende supplémentaire de 90 millions de wons.

L'enquête trouve son origine dans l'audit parlementaire de 2025

La PIPC a indiqué que l'enquête a débuté après que des préoccupations ont été soulevées lors de l'audit de l'Assemblée nationale coréenne de 2025 concernant le transfert à l'étranger d'informations personnelles via le service de partage du carnet d'ordres de Bithumb.

À la suite de ses conclusions, le régulateur a ordonné à Bithumb de veiller à ce que les futurs transferts de données à l'étranger respectent les exigences légales et de divulguer clairement les détails pertinents dans sa politique de confidentialité.

Dans son annonce, la commission a déclaré que les transferts transfrontaliers d'informations personnelles sont étroitement liés au droit des individus à contrôler leurs propres données et nécessitent donc un respect strict des procédures établies par la loi sur la protection des informations personnelles.

Directives sur la confidentialité publiées pour les services Blockchain

Parallèlement à la mesure d'exécution, la PIPC a publié de nouvelles Directives de protection des informations personnelles pour les services Blockchain, reflétant les problèmes identifiés lors de l'enquête.

Ces directives abordent les risques pour la vie privée créés par la transparence, la décentralisation et l'immuabilité de la blockchain. Parmi ses recommandations, le régulateur a conseillé aux fournisseurs de services blockchain d'éviter d'enregistrer directement des informations personnellement identifiables on-chain et a défini des mesures pour réduire l'exposition des données, gérer le partage d'informations entre les participants du réseau et traiter les données personnelles au sein de systèmes blockchain immuables.

Cette dernière mesure intervient alors que les autorités sud-coréennes continuent de renforcer la surveillance réglementaire du secteur des crypto-monnaies du pays. Plus tôt cette année, Bithumb a également fait l'objet de sanctions importantes de la part de l'Unité de renseignement financier en raison de manquements à la conformité AML, reflétant les efforts plus larges des régulateurs pour renforcer la supervision des plateformes d'actifs numériques, tant en matière de prévention de la criminalité financière que de protection des données personnelles.

Récemment, le PDG de Bithumb, Lee Jae-won, a été désigné comme suspect de corruption dans le cadre de l'enquête coréenne sur des irrégularités présumées dans les pratiques d'embauche, s'ajoutant aux défis réglementaires de l'exchange. La dernière amende pour atteinte à la vie privée intervient alors que Bithumb fait face à un examen plus large de ses pratiques d'embauche, de sa conformité AML et de sa protection des données personnelles.