Derrière la pénalité de 10 % du chiffre d'affaires : la régulation des données est déjà au niveau du conseil d'administration

Question AI · Comment la responsabilité du conseil d’administration remonte-t-elle pour remodeler la chaîne de décision en matière de protection des données ?

Le 10 mars 2026, la Corée du Sud a procédé à une nouvelle révision de la Loi sur la protection des informations personnelles.

Cette modification législative ne constitue pas une simple adaptation isolée, mais s’inscrit dans un contexte très précis — ces dernières années, la Corée a connu une série d’incidents majeurs de fuite de données, impliquant plusieurs secteurs tels que la finance, les télécommunications et le commerce électronique, avec une intensification simultanée des contrôles réglementaires. Sous cette pression concrète, le système initial, orienté principalement vers la conformité réglementaire, devient de plus en plus difficile à soutenir face aux attentes de la surveillance.

C’est précisément dans ce contexte qu’un changement très notable apparaît dans cette révision : elle ne se contente pas de renforcer la régulation en « ajoutant plus d’obligations », mais commence à ajuster une problématique plus fondamentale — la manière dont les entreprises gèrent réellement le risque lié aux données.

D’une part, les règles sont avancées. En introduisant un mécanisme selon lequel l’obligation de notification doit être remplie dès lors que le seuil de risque légal est atteint, la conformité ne commence plus au moment où l’incident est déjà survenu, mais est anticipée lors de la phase d’identification du risque ; d’autre part, la responsabilité est également transférée vers le haut. En renforçant la responsabilité des responsables d’entreprise, en introduisant une amende pouvant atteindre jusqu’à 10 % du chiffre d’affaires concerné, et en intégrant le responsable de la protection des données personnelles dans le système de décision et de reporting au niveau du conseil d’administration, la protection des données est officiellement intégrée dans le cadre de la gouvernance d’entreprise.

En mettant ces changements en perspective avec une série récente d’affaires de régulation typiques, on observe une tendance plus significative qu’un simple durcissement réglementaire : le cœur de la surveillance évolue, passant de la question « l’entreprise est-elle conforme ? » à celle « y a-t-il quelqu’un dans l’entreprise qui juge du risque des données et en assume les conséquences ? »

Avant et après la révision, plusieurs incidents majeurs de fuite de données ont été recensés en Corée. Certaines institutions financières ont inscrit en clair dans leurs logs le numéro d’enregistrement résidentiel, ce qui a finalement conduit à la fuite d’informations de millions d’utilisateurs ; d’autres marques ont été attaquées en raison de contrôles d’accès faibles et de mécanismes d’authentification insuffisants, permettant aux attaquants d’accéder directement aux données clients ; enfin, des plateformes ont subi des fuites plus étendues en raison de l’absence de mesures de sécurité fondamentales.

Sur la surface, ces incidents ont tous un point commun — « une attaque ». Mais en suivant la logique de rétrospective réglementaire, on constate que le problème ne réside pas dans l’attaque elle-même.

Le vrai problème, c’est que — dans de nombreux cas — les entreprises manquent de la capacité la plus élémentaire à juger du risque. Quelles données nécessitent une protection renforcée, quels maillons du système présentent des vulnérabilités structurelles, ou encore si un comportement anormal peut être détecté rapidement — ces questions, qui devraient faire partie du processus opérationnel quotidien, sont souvent absentes.

Ainsi, ce que ces affaires révèlent, ce n’est pas un incident de sécurité isolé, mais une défaillance systémique dans la détection des risques, le contrôle interne et la capacité de réponse.

Du point de vue de la conception institutionnelle, une évolution très visible est le déplacement en amont de l’obligation de notification.

Dans la majorité des juridictions, la logique de conformité repose encore principalement sur l’après-incident. Lorsqu’une fuite est confirmée, l’entreprise doit notifier l’autorité de régulation et les utilisateurs dans un délai imparti. Il s’agit d’un mécanisme typique de réaction post-événement.

La révision sud-coréenne, quant à elle, rompt délibérément cette séquence temporelle.

Selon l’article 34 révisé, dans certaines conditions, même si une fuite n’a pas encore été confirmée, dès lors qu’un risque atteignant le seuil légal existe, l’entreprise doit lancer une notification. Cela signifie que l’entreprise ne peut plus se contenter de retarder la décision en invoquant le fait que l’incident n’a pas encore eu lieu, mais doit faire une évaluation dans un état d’incertitude.

Par ailleurs, la notification ne se limite plus à une simple information. L’entreprise doit également préciser les voies d’action légales pour l’utilisateur, y compris la compensation des dommages, la réparation légale et les modes de résolution des litiges. La notification passe ainsi d’un simple acte de divulgation d’informations à une démarche de conformité comportant des implications juridiques.

Mais si l’on considère cette évolution uniquement comme un déplacement de l’obligation dans le temps, cela reste superficiel. La véritable portée de ce changement, c’est qu’il oblige les entreprises à développer une capacité — à faire des jugements en situation d’incertitude.

Comparé au déplacement des obligations, ce qui est encore plus crucial, c’est la transformation de la structure de responsabilité.

Cette révision ne prévoit pas directement des amendes ou des responsabilités pénales pour les propriétaires ou représentants légaux, mais par le biais d’un ensemble de dispositifs, elle ancre la responsabilité de la protection des données dans la gouvernance d’entreprise. Les dirigeants ou représentants ne sont plus de simples figures abstraites de responsabilité ultime, mais doivent, via la gestion des ressources et la mise en place de systèmes, assumer une responsabilité concrète quant à l’efficacité des mesures de sécurité. De plus, le responsable de la protection des données personnelles est intégré dans le système de décision et de reporting du conseil, avec une attention continue portée à sa nomination, ses changements et sa performance.

Dans ce cadre, la conformité en matière de données ne peut plus être considérée comme une fonction isolée d’un seul département, ou comme une tâche qui ne concerne qu’une seule unité.

Le traitement des données traverse naturellement la conception des produits, l’architecture technique, les processus opérationnels, la stratégie commerciale, jusqu’aux collaborations externes, et ses risques ne se concentrent pas en un point unique, mais se distribuent de façon systémique tout au long du cycle d’activité. En conséquence, la conformité en matière de données ne doit pas être perçue comme une tâche limitée aux équipes juridiques, conformité ou techniques, mais comme un effort global nécessitant des ressources, une conduite par des professionnels, et une coordination inter-départements.

Le fait que, dans beaucoup d’entreprises, cette responsabilité soit encore traitée comme une fonction isolée, reflète surtout une méconnaissance de la nature et de l’importance de cette tâche par la direction, plutôt qu’une adéquation intrinsèque à sa structure. C’est précisément pour cette raison que, lorsque l’obligation de notification est avancée, que la nécessité de jugements en situation d’incertitude est soulignée, ou que l’investissement en ressources devient un critère d’évaluation réglementaire, ces problématiques convergent inévitablement vers un même niveau — celui de la gouvernance.

Le plafond de 10 % d’amende constitue sans doute la partie la plus percutante de cette révision. Mais si l’on ne voit que la sévérité accrue, on risque de passer à côté de sa véritable fonction.

Les règles révisées lient la lourde amende à des cas spécifiques, comme la répétition de violations graves, des fuites massives dues à une négligence ou une intention malveillante, ou encore la réitération d’incidents sans correction préalable. Par ailleurs, le système prévoit une réduction de l’amende si l’entreprise a déjà investi de manière significative dans la protection des données personnelles (ressources humaines, budget, mesures techniques).

Cela introduit en réalité une logique d’évaluation plus ciblée : la surveillance ne se limite plus à juger du résultat, mais commence à s’interroger — avant que le résultat ne se produise — si l’entreprise a fait preuve de jugement raisonnable et a alloué les ressources nécessaires.

C’est également à ce niveau que la responsabilité et la structure de responsabilité évoquées plus haut entrent en interaction. La sanction ne se limite plus à punir le résultat, mais pousse à une réflexion plus précise — qui a pris la décision, et sur quelle base ?

Autrement dit, l’orientation de la sanction se déplace, du résultat lui-même, vers le processus décisionnel.

En regroupant ces changements, on perçoit une tendance plus profonde.

Il ne s’agit pas simplement d’augmenter le seuil de conformité, mais de transformer la manière dont les entreprises traitent la question des données. La protection des données ne sera plus une simple obligation de conformité à remplir, mais un enjeu stratégique à évaluer en continu, avec des investissements permanents.

Les entreprises doivent désormais faire face non seulement aux règles, mais aussi à la question de comment décider dans un contexte d’incertitude, où la règle n’est pas encore totalement claire, et où le risque n’est pas encore réalisé. C’est dans ce processus que le risque lié aux données commence à s’intégrer dans la logique opérationnelle quotidienne. Il ne s’agit plus d’une réponse passive après coup, mais d’un paramètre à anticiper, à évaluer, et à gérer en amont.

Par conséquent, « qui doit être responsable » n’est pas une question supplémentaire, mais une conséquence naturelle de la relégation de la responsabilité dans le processus décisionnel — lorsque le jugement du risque devient partie intégrante de la gestion quotidienne, cette responsabilité ne peut plus rester au seul niveau opérationnel, mais doit incomber à la direction, qui dispose des ressources et du pouvoir de décision.

Ce changement a des implications très concrètes pour les entreprises à l’international.

De nombreuses entreprises — en particulier celles qui opèrent à l’étranger — manquent de mécanismes internes structurés, de ressources stables ou de soutien professionnel. La conformité en matière de données est souvent dispersée entre les équipes juridiques, techniques, produits ou sécurité, et chaque département agit de son côté, avec des réponses improvisées en cas de problème. Si cette situation pouvait encore être tolérée dans le passé, elle devient de plus en plus difficile à maintenir dans le contexte réglementaire actuel.

Car ce qui est désormais constamment questionné, ce n’est plus seulement « l’existence d’un cadre » ou « la complétude des documents », mais la capacité de l’entreprise à identifier rapidement un problème, à porter un jugement, et à faire collaborer efficacement les différents départements pour produire une réponse acceptable par la régulation. Pour la majorité des entreprises à l’étranger, cela ne peut pas être une capacité qui se développe spontanément par simple évolution interne.

Le vrai enjeu, c’est que la difficulté ne réside plus seulement dans la subjectivité de l’attention portée à la question, mais dans la capacité à transformer cette attention en un mécanisme opérationnel durable. Quelles sont les risques prioritaires à repérer, quels problèmes doivent remonter à la gouvernance, comment faire collaborer les équipes business, technique et conformité, et comment maintenir la cohérence et la transparence dans un contexte réglementaire en constante évolution ?

D’après l’expérience, les entreprises qui parviennent à établir rapidement ces capacités ne le font pas simplement par une exploration interne, mais en s’appuyant sur des cadres d’expérience plus matures, qui permettent de systématiser la réorganisation des responsabilités, de clarifier les frontières, et d’accélérer la réponse face aux incidents.

Ainsi, cette nouvelle étape ne concerne pas uniquement la conformité, mais la capacité à combler rapidement un déficit de compétences, et à faire porter ces responsabilités dans la structure organisationnelle.

Une tendance similaire se manifeste aussi en Chine. La mise en place du responsable de la protection des données personnelles vise également à concentrer la responsabilité au sein d’un niveau doté de ressources et de moyens. Si les dispositifs précis diffèrent selon les juridictions, la logique sous-jacente tend vers une convergence.

Pour les entreprises, la question essentielle que cette évolution soulève est très concrète :

Dans un contexte où le risque lié aux données n’a pas encore surgi, et où la réglementation n’est pas encore totalement claire, y a-t-il quelqu’un dans l’organisation capable de faire un jugement, et d’en assumer la responsabilité ?

Si cette question ne peut pas recevoir de réponse, alors la conformité elle-même ne constitue plus une véritable limite au risque. La véritable variable qui détermine l’exposition au risque, c’est la capacité à faire des jugements dans l’incertitude, et à placer ces jugements au bon niveau dans la hiérarchie.