Corée du Sud : Bithumb sanctionnée pour avoir partagé des données clients

La plateforme sud-coréenne d’échange de cryptomonnaies Bithumb a écopé d’une amende de 210 millions de wons, soit environ 136.000 dollars, pour avoir partagé illégalement les données personnelles de ses utilisateurs. Selon l’autorité nationale de protection de la vie privée, des informations clients ont été transmises à des plateformes étrangères sans le consentement requis des utilisateurs.

Outre cette amende, Bithumb devra modifier ses procédures de transfert international de données afin de les rendre conformes à la législation sud-coréenne sur la protection des données personnelles.

Bithumb a partagé des données clients avec BingX

L’enquête de la Personal Information Protection Commission (PIPC) a été ouverte après des questions soulevées lors d’un contrôle parlementaire en 2025 sur la coopération entre Bithumb et des plateformes crypto étrangères. Elle portait notamment sur le partage de carnets d’ordres destiné à accroître la liquidité sur les plateformes de négociation.

Selon le régulateur, Bithumb a transmis, entre septembre et novembre 2025, des données d’utilisateurs négociant du Tether (USDT) aux systèmes de la plateforme crypto BingX.

Les utilisateurs avaient bien autorisé un transfert de données via la plateforme Stellar, mais leurs informations personnelles ont finalement été envoyées à BingX. Parmi les données partagées figuraient notamment des numéros d’identification de membres et des informations relatives aux ordres de marché passés.

La PIPC a estimé que Bithumb avait enfreint la loi sud-coréenne sur la protection des données personnelles, l’identité du destinataire final ne correspondant pas à celle pour laquelle le consentement avait été donné.

L’enquête révèle des échanges de données plus larges

Au cours de son enquête, le régulateur a également découvert que Bithumb avait partagé des données personnelles avec treize autres plateformes crypto étrangères. Il s’agissait notamment de noms, d’adresses de portefeuilles et, dans certains cas, de dates de naissance.

Bithumb affirme que ces informations étaient nécessaires pour se conformer aux règles internationales de lutte contre le blanchiment d’argent (AML). La PIPC reconnaît que des données personnelles peuvent parfois être traitées à cette fin, mais souligne que les utilisateurs doivent savoir clairement, en amont, quelle entité étrangère recevra leurs données et dans quel but elles seront utilisées.

Selon le régulateur, les transferts internationaux de données ont des conséquences directes sur le contrôle que les utilisateurs exercent sur leurs informations personnelles. Les entreprises crypto doivent donc faire preuve d’une transparence totale et obtenir au préalable le consentement approprié.

La Corée du Sud durcit encore sa surveillance des entreprises crypto

La sanction visant Bithumb s’inscrit dans la stratégie plus large de la Corée du Sud, qui entend renforcer la supervision du secteur crypto. La plateforme avait déjà été condamnée à une amende de 36,8 milliards de wons pour des manquements à ses obligations en matière de lutte contre le blanchiment. Les autorités avaient notamment relevé des lacunes dans les contrôles clients, la surveillance des transactions et les échanges avec des prestataires étrangers de services crypto non enregistrés.

La Corée du Sud travaille par ailleurs à un durcissement des règles applicables aux transactions crypto transfrontalières et souhaite échanger des données de transaction avec 48 autres pays dans le cadre de reporting sur les crypto-actifs de l’Organisation de coopération et de développement économiques (OCDE).

Parallèlement à sa décision, la PIPC a publié de nouvelles lignes directrices destinées aux entreprises utilisant la technologie blockchain. Selon le régulateur, les blockchains posent des défis supplémentaires en matière de protection des données personnelles, car les informations y sont souvent publiques et difficiles à modifier ou à supprimer. Les développeurs sont donc appelés à intégrer la protection de la vie privée dès la conception de nouveaux projets blockchain.