Le recours collectif fédéral en valeurs mobilières allègue que le géant du commerce électronique n’a pas signalé une violation de données conformément aux règles de cybersécurité de la SEC.
Un recours collectif fédéral américain en matière de valeurs mobilières a allégué que le géant sud-coréen du commerce électronique Coupang avait mis près d’un mois à divulguer une violation massive de données aux régulateurs, violant ainsi les règles de la SEC qui obligent les entreprises à signaler les incidents importants de cybersécurité dans un délai de quatre jours ouvrables.
Le procès, déposé le 18 décembre, est intervenu deux jours seulement après que Coupang a finalement soumis une divulgation du formulaire 8-K à la Securities and Exchange Commission – 28 jours après avoir découvert la violation le 18 novembre.
La plainte allègue que le PDG Bom Kim et le directeur financier Gaurav Anand savaient ou ignoraient imprudemment que l’entreprise disposait de « protocoles de cybersécurité inadéquats » permettant à un ancien employé d’accéder aux données des clients pendant près de six mois sans être détecté. La violation a exposé les informations personnelles de 33,7 millions de comptes clients, a déclaré Coupang.
Date limite de divulgation non respectée
La SEC a adopté des règles de divulgation en matière de cybersécurité en juillet 2023, obligeant les entreprises à divulguer les incidents importants dans les quatre jours ouvrables suivant la détermination de l’importance relative, en vertu du point 1.05 du formulaire 8-K. Les entreprises ne peuvent retarder la divulgation que si le procureur général des États-Unis détermine que cela présente des risques importants pour la sécurité nationale ou la sécurité publique.
La plainte allègue que Coupang n’a pas bénéficié d’une telle exemption. La société aurait dû déposer sa plainte avant le 24 novembre, après avoir découvert la violation le 18 novembre, mais a attendu le 16 décembre.
Entre découverte et divulgation, les reportages médiatiques ont provoqué des bouleversements organisationnels. Park Dae-jun, PDG des opérations sud-coréennes de Coupang, a démissionné le 10 décembre après avoir déclaré qu’il « assumerait l’entière responsabilité de l’incident et du traitement de l’affaire ». Harold Rogers, avocat général et directeur administratif de Coupang, a assumé le rôle de PDG par intérim de la filiale coréenne.
Le fondateur et PDG de Coupang, Bom Kim, a refusé de comparaître lors d’une audience parlementaire sud-coréenne au sujet de cette violation, invoquant les obligations commerciales – une décision que les législateurs ont condamnée comme une « évasion systématique de la responsabilité de l’entreprise ».
Clés d’authentification laissées non révoquées après le départ d’un employé
Les enquêteurs ont attribué la violation à un ancien employé qui a conservé des informations d’authentification valides après avoir quitté l’entreprise en 2024, selon les déclarations du législateur sud-coréen Choi Min-hee. L’individu, un ressortissant chinois de 43 ans, avait travaillé sur des systèmes de gestion d’authentification et avait rejoint Coupang en novembre 2022.
Le représentant Choi Min-hee, président de la commission des sciences, des TIC, de la radiodiffusion et des communications de l’Assemblée nationale, a publié les résultats de l’analyse dans un communiqué de presse du 30 novembre, soulignant des échecs dans les procédures de sécurité de base. L’entreprise n’a pas réussi à renouveler ou à révoquer les clés de signature (les informations d’identification cryptographiques utilisées pour émettre des jetons d’accès) lorsque l’employé a quitté l’entreprise.
« L’abandon d’une clé d’authentification valide à long terme n’était pas simplement un écart de la part d’un employé interne, mais le résultat de problèmes organisationnels et structurels chez Coupang qui négligeaient le système d’authentification », a déclaré Choi dans le communiqué de presse.
Les propres informations fournies par Coupang aux législateurs indiquent que la société a fixé des périodes de validité des clés de signature de jetons de cinq à dix ans, avec des périodes de rotation variant selon le type de clé.
Cas de test juridique pour les règles de cybersécurité de la SEC
Les observateurs juridiques ont noté que le procès Coupang semble être l’un des premiers recours collectifs en valeurs mobilières contestant directement le respect des directives de divulgation en matière de cybersécurité de 2023 de la SEC.
« C’est une raison spécifique pour laquelle je trouve le nouveau procès Coupang particulièrement intéressant, et c’est parce que l’une des principales allégations du procès est que la société n’aurait pas fait les divulgations requises conformément aux directives de divulgation de la SEC en matière de cybersécurité », a écrit la revue juridique The D&O Diary dans une analyse de l’affaire.
La plainte allègue également que Coupang a fait des déclarations matériellement fausses dans des rapports trimestriels déposés en août et novembre 2025. Ces rapports incorporaient des informations sur les risques du rapport annuel 2024 de l’entreprise détaillant la technologie de cryptage et les mesures de sécurité – des déclarations selon la plainte « sous-estimaient sensiblement le risque de Coupang d’un événement important de cybersécurité ».
Lorsque Coupang a finalement déposé son formulaire 8-K, la société a déclaré qu’elle avait activé les procédures de réponse aux incidents, bloqué les accès non autorisés et signalé l’incident aux autorités coréennes. Le dossier reconnaît que les régulateurs coréens « imposeront potentiellement des sanctions financières », mais indique que la société ne peut pas raisonnablement estimer les pertes.
Contrôle réglementaire en Corée du Sud
En Corée du Sud, Coupang risque des amendes potentielles allant jusqu’à 1 200 milliards de wons (814 millions de dollars) en vertu de la loi sur la protection des informations personnelles, qui oblige les entreprises à informer les régulateurs dans les 24 heures suivant la découverte d’une violation et à maintenir des garanties appropriées.
La police sud-coréenne a effectué deux descentes au siège de Coupang à Séoul dans le cadre de son enquête. Le président Lee Jae Myung a appelé à des dispositions élargies sur les recours collectifs, affirmant que « chaque Coréen a été affecté » par cette violation affectant près des deux tiers des 51,7 millions d’habitants du pays.
Le procès vise à établir une catégorie d’investisseurs qui ont acheté des titres Coupang entre le 6 août et le 16 décembre. Plusieurs cabinets d’avocats ont annoncé qu’ils enquêtaient sur des réclamations similaires. Une conférence de gestion de cas est prévue le 20 mars.
