La structure de la PIPA après les amendements de 2023

La PIPA est la loi principale sur les données personnelles en Corée du Sud, et la version amendée est le point de référence pour tout éditeur opérant à partir de 2024. Les équipes qui travaillent à partir du texte antérieur à 2023 se basent sur un cadre obsolète.

Ce que les amendements de 2023 ont changé

Les amendements de 2023 ont apporté plusieurs modifications structurelles :

• Unification des obligations des responsables du traitement dans tous les secteurs, supprimant le régime fragmenté qui traitait auparavant différemment les fournisseurs de services d'information et de communication des autres responsables du traitement
• Restructuration du cadre de transfert transfrontalier pour s'éloigner du consentement explicite par transfert vers des modèles d'adéquation et de garanties plus proches du modèle GDPR
• Introduction d'un droit clair de ne pas être soumis à des décisions entièrement automatisées produisant des effets significatifs, avec un droit de demander un examen humain
• Réduction de la fenêtre obligatoire de notification des violations à 72 heures, alignée sur la norme GDPR
• Relèvement du plafond des amendes administratives à jusqu'à 3 % du chiffre d'affaires total pour les violations graves — une augmentation spectaculaire par rapport aux plafonds antérieurs liés aux revenus de l'activité violatrice

Le rôle de la PIPC

La PIPC est l'autorité unifiée de protection des données, avec des pouvoirs couvrant l'investigation, l'imposition d'amendes, les ordonnances correctives et la publication publique des décisions d'exécution. Depuis 2023, elle opère en tant qu'organisme de niveau ministériel avec des ressources significativement élargies et une posture d'application visiblement plus agressive.

Qui est réglementé

La PIPA s'applique à tout traitement des informations personnelles des résidents coréens, quel que soit l'endroit où se trouve le responsable du traitement. Un éditeur basé aux États-Unis servant des utilisateurs coréens via un site localisé, ou un acheteur programmatique enchérissant sur un inventaire coréen, est dans le champ d'application. Cette portée extraterritoriale est bien établie dans la pratique de la PIPC et a été renforcée dans de multiples actions d'exécution contre des plateformes étrangères depuis 2023.

Ce qui constitue une information personnelle

La définition de la PIPA est large. Les informations personnelles comprennent toute information sur une personne physique vivante pouvant identifier l'individu, soit directement, soit en combinaison avec d'autres informations. La PIPC a systématiquement traité l'ensemble des identifiants en ligne — cookies, identifiants publicitaires, adresses IP, empreintes de dispositifs et profils comportementaux — comme des informations personnelles lorsqu'ils peuvent être liés à un individu directement ou par des moyens raisonnables.

Informations sensibles

La loi coréenne désigne une catégorie distincte d'informations sensibles (민감정보) qui déclenche des exigences de consentement plus strictes. Cela comprend l'idéologie, les croyances, l'appartenance à un syndicat ou à un parti politique, les opinions politiques, la santé, la vie sexuelle, les données génétiques, les données biométriques utilisées pour l'identification et l'historique pénal. Le traitement des informations sensibles requiert un consentement séparé et spécifique — pas le consentement groupé qui pourrait couvrir les informations personnelles ordinaires.

Informations d'identification uniques

La PIPA délimite une catégorie supplémentaire, les informations d'identification uniques (고유식별정보), qui comprennent les numéros d'enregistrement de résidents, les numéros de passeport, les numéros de permis de conduire et les numéros d'enregistrement d'étrangers. Leur traitement est strictement limité et généralement interdit à des fins de marketing ou de publicité.

Pourquoi cela importe pour les cookies

Un cookie qui stocke un simple identifiant de session est une information personnelle ordinaire et relève du régime général de consentement. Un cookie qui alimente un segment d'audience touchant des catégories sensibles — intérêts pour la santé, orientations politiques, affiliations religieuses — entre dans le territoire des informations sensibles et nécessite le flux de consentement séparé et spécifique. Les éditeurs ciblant des audiences qui chevauchent la liste des données sensibles de la PIPA ne devraient pas faire tourner ces segments sous un consentement publicitaire général.

Le consentement aux cookies sous la PIPA en 2026

La Corée du Sud suit un modèle de consentement opt-in strict. La position de la PIPC sur les cookies a été constante et a été renforcée par de multiples décisions d'exécution en 2024 et 2025.

Les cinq éléments d'un consentement valide

La PIPA exige que le consentement aux cookies non essentiels et technologies similaires soit :

• Spécifique à la finalité — le consentement global général n'est pas valide, chaque finalité de traitement nécessite son propre consentement
• Éclairé — l'utilisateur doit comprendre quelles données sont collectées, pourquoi, qui les reçoit et pour combien de temps
• Libre — le refus doit être possible sans priver l'utilisateur d'un service auquel il a autrement droit
• Exprimé par un acte affirmatif — les cases pré-cochées, le consentement implicite et le consentement par défilement sont tous invalides
• Séparé pour chaque catégorie de finalité — l'essentiel, l'analytique, la publicité, la personnalisation et le transfert transfrontalier nécessitent chacun leur propre consentement collecté séparément

À quoi ressemble une CMP conforme

Une CMP configurée pour le trafic coréen en 2026 devrait présenter :

• Une bannière visible avant le déclenchement de tout cookie non essentiel, par défaut en coréen (한국어) pour les utilisateurs coréens
• Des actions Accepter, Refuser et Personnaliser distinctes avec une prominence visuelle égale — la PIPC a spécifiquement cité des conceptions de bannières où Refuser est moins visible qu'Accepter
• Des contrôles granulaires par finalité, comprenant un interrupteur explicite pour le transfert transfrontalier
• Un flux séparé et clairement étiqueté pour le traitement des informations sensibles, protégé derrière sa propre action
• Un mécanisme permanent et facilement accessible pour retirer le consentement après le choix initial
• Une politique de confidentialité en coréen (개인정보 처리방침) avec toutes les divulgations requises

Les registres de consentement

Le responsable du traitement doit conserver des preuves du consentement — qui a consenti, quand, à quoi, via quelle interface. Des journaux de consentement exportables et horodatés constituent le niveau d'attente de base, et des registres de consentement insuffisants ont été cités dans plusieurs actions d'exécution de la PIPC.

Transferts transfrontaliers après les amendements de 2023

Le régime coréen de transfert transfrontalier a été restructuré plus complètement que presque toute autre mise à jour nationale en matière de confidentialité après 2023. Comprendre le nouveau cadre est le principal écart de conformité pour les éditeurs étrangers en 2026.

Le nouveau cadre de transfert

La PIPA amendée prévoit quatre voies pour un transfert transfrontalier légitime :

• Décisions d'adéquation émises par la PIPC pour les pays ou secteurs de destination
• Certification du destinataire étranger dans le cadre d'un régime de certification reconnu par la PIPC
• Contrats types approuvés par la PIPC, qui fonctionnent de manière analogue aux clauses contractuelles types du GDPR
• Consentement explicite séparé de la personne concernée pour le transfert spécifique, à titre de mécanisme résiduel

Pourquoi cela importe

Avant les amendements de 2023, la plupart des flux transfrontaliers reposaient sur la quatrième voie — le consentement par transfert —, ce qui produisait des CMP épaisses et complexes difficiles à maintenir pour les piles programmatiques. Le cadre de 2023 permet aux responsables du traitement de s'appuyer sur des contrats types ou une certification, réduisant la charge de consentement et s'alignant sur la pratique internationale. Les éditeurs qui n'ont pas mis à jour leurs contrats de fournisseurs pour référencer les contrats types de la PIPC continuent d'opérer par défaut sous l'ancien régime, ce qui constitue désormais une dette de conformité plutôt qu'un atout.

L'approche pratique en 2026

La plupart des éditeurs étrangers exécutent désormais des contrats types PIPC avec leurs sous-traitants étrangers, documentent le mécanisme de transfert dans la politique de confidentialité et ne gardent le consentement séparé par transfert que comme solution de repli pour les cas limites. C'est réalisable, défendable et nettement plus simple qu'auparavant.

Prise de décision automatisée et transparence algorithmique

Les amendements de 2023 ont introduit un droit de ne pas être soumis à des décisions entièrement automatisées produisant des effets significatifs, et un droit de demander un examen humain de telles décisions. Pour les éditeurs, cela s'applique le plus visiblement à la curation algorithmique de contenu, aux tarifications personnalisées et à tout ciblage d'audience produisant des résultats différenciels significatifs.

Obligations de divulgation

Les responsables du traitement doivent indiquer dans la politique de confidentialité que la prise de décision automatisée est utilisée, décrire la logique de base et expliquer les effets significatifs potentiels. Cela ne signifie pas révéler des algorithmes propriétaires — mais cela nécessite un résumé en langage clair et significatif qu'un utilisateur typique pourrait comprendre.

Le droit de révision

Les utilisateurs affectés par une décision automatisée significative peuvent demander un examen humain, une correction ou une explication. Le responsable du traitement doit fournir un canal pour cette demande et répondre dans les délais standard de la PIPA.

Droits des personnes concernées

La PIPA accorde l'ensemble familier de droits, appliqués à travers le cadre coréen :

• Droit d'être informé du traitement
• Droit d'accès aux données traitées
• Droit de rectification des données inexactes
• Droit de suspension du traitement
• Droit à l'effacement lorsque le traitement n'est plus justifié
• Droit de retirer le consentement aussi facilement qu'il a été donné
• Droit de s'opposer à la prise de décision automatisée produisant des effets significatifs
• Droit de déposer une plainte auprès de la PIPC

Délais de réponse

Les responsables du traitement doivent répondre à la plupart des demandes des personnes concernées dans 10 jours, extensible une fois de 10 jours supplémentaires avec notification — délai nettement plus court que la fenêtre de 30 jours du GDPR. C'est l'un des écarts opérationnels les plus courants pour les éditeurs étrangers, qui ont généralement des outils et des manuels de procédures calés sur le rythme de 30 jours du GDPR.

Sanctions et posture d'application en 2026

L'activité d'application de la PIPC a fortement escaladé depuis 2023, et 2025 a produit certaines des amendes les plus importantes de son histoire — plusieurs d'entre elles contre des plateformes et éditeurs étrangers.

Amendes administratives

Les amendements de 2023 ont porté le niveau maximal d'amende à jusqu'à 3 % du chiffre d'affaires total pour les violations les plus graves. Des amendes de niveau inférieur s'appliquent aux manquements concernant le consentement, les notifications, la sécurité des données, la notification des violations et les transferts transfrontaliers. La PIPC a été prête à utiliser le niveau maximal en 2025, ce qui n'était pas son schéma habituel.

Responsabilité pénale

La PIPA prévoit des sanctions pénales — y compris l'emprisonnement — pour les violations les plus graves, telles que la vente illicite d'informations personnelles ou les violations intentionnelles à grande échelle. Celles-ci sont rares mais réelles et ont été invoquées dans des affaires de 2025.

Thèmes d'application

Les actions de la PIPC en 2025 se regroupent autour de problèmes récurrents : bannières de consentement inadéquates ou ambiguës, transferts transfrontaliers sans mécanisme post-2023 valide, notification de violation insuffisante et non-respect des droits des personnes concernées dans la fenêtre de 10 jours. Les éditeurs étrangers ont été cités dans les quatre catégories.

Liste de contrôle d'audit pour le trafic coréen en 2026

• La bannière CMP est servie en coréen (한국어) avec Accepter, Refuser et Personnaliser à égale prominence visuelle
• Les finalités de consentement sont granulaires et séparent tout traitement d'informations sensibles derrière son propre flux de consentement spécifique
• Les transferts transfrontaliers reposent sur un contrat type PIPC, une certification ou une adéquation — pas sur un consentement par transfert hérité
• La politique de confidentialité (개인정보 처리방침) est disponible en coréen avec toutes les divulgations sur les sous-traitants, les finalités, la rétention et les droits, y compris la logique de prise de décision automatisée le cas échéant
• Les journaux de consentement sont horodatés, exportables et conservés pendant au moins la durée du traitement plus une marge auditable
• Le flux de traitement des demandes de personnes concernées peut répondre dans un délai de 10 jours de bout en bout, en coréen
• Le manuel de notification de violation est calé sur la fenêtre de 72 heures de la PIPC
• Les divulgations concernant la prise de décision automatisée sont dans la politique de confidentialité là où des décisions significatives sont prises à l'aide de tels systèmes
• La liste des fournisseurs a été examinée pour la nécessité, avec suppression des fournisseurs inutilisés ou redondants

Les perspectives pour 2026

Le régime de confidentialité de la Corée du Sud a mûri de l'un des cadres les plus stricts sur le papier en Asie à l'un des régimes les plus stricts en application dans le monde. Les amendements de 2023 ont supprimé les obstacles structurels qui rendaient la conformité coûteuse, et la PIPC a utilisé les deux années depuis lors pour se concentrer sur l'application du reste de la loi. Les éditeurs disposant d'une pile de consentement de niveau GDPR n'ont besoin que de petits ajustements pour être prêts pour la Corée : CMP et politique en coréen, contrats types PIPC pour les flux transfrontaliers, le rythme de réponse de 10 jours, et l'attention à la liste des informations sensibles. Les éditeurs qui traitent encore la Corée comme un marché plus léger constateront que 2026 et 2027 sont matériellement plus coûteux que les années précédentes. La bonne nouvelle est que l'écart est opérationnel, pas architectural, et peut être comblé en quelques semaines si priorisé.