Technologie
Kakao Pay, une filiale de Kakao, l’équivalent coréen de WhatsApp, a transmis des données de plus de 40 millions d’utilisateurs à la branche singapourienne de la plateforme de paiement chinoise Alipay, sans obtenir le consentement des utilisateurs, a révélé mardi l’autorité de régulation financière de Corée du Sud.
Le Service de supervision financière (FSS) du pays a conclu que le partage de données était illégal après une inspection sur site de la division des paiements à l’étranger de Kakao Pay, effectuée entre mai et juillet de cette année. Parmi les données personnelles partagées figuraient l’identifiant de compte Kakao, le numéro de téléphone mobile, l’adresse e-mail, l’historique d’abonnement à Kakao Pay et les transactions.
Kakao Pay a nié toute activité illégale.
Une collaboration controversée
Le partenariat entre Kakao Pay et Alipay vise à permettre aux clients coréens d’utiliser Kakao Pay chez des commerçants à l’étranger acceptant Alipay. Kakao Pay a donc affirmé que le partage de données faisait partie d’une collaboration commerciale, précisant qu’il s’agissait d’un service de traitement de données pour Alipay et non d’une transmission d’informations clients à un tiers. L’entreprise a soutenu que cela signifiait qu’aucun consentement n’était requis et a également affirmé que toutes les informations étaient cryptées, ce qui, selon elle, ne posait pas de problème.
Cependant, le régulateur a réaffirmé sa position le mercredi suivant, notant que le contrat entre les deux entreprises ne précisait pas qu’Alipay traitait des données, et que les conditions d’utilisation de Kakao ne mentionnaient pas l’utilisation d’un sous-traitant pour le traitement des données.
Des préoccupations sur la protection des données
Le FSS a insisté sur le fait qu’aucun processeur de données ne devrait tirer de profit des données et que toute entité prenant en charge ce rôle devait être signalée au FSS, indiquant que la quantité de données partagées pourrait être financièrement lucrative. Le partage de données sans consentement enfreint la loi coréenne sur l’utilisation et la protection des informations de crédit, et ce cas est particulièrement préoccupant car les informations ont été transmises à l’étranger, à Singapour. Pour partager des données à l’international, Kakao aurait dû suivre des processus de consentement encore plus stricts.
Un besoin excessif de données ?
Le FSS a également fait valoir que le partage d’une telle quantité de données n’était pas nécessaire pour permettre des paiements à l’étranger via un partenaire. Les seules informations nécessaires pour finaliser les paiements étaient les informations de commande et de paiement. Kakao Pay a soutenu qu’il était nécessaire de collecter des informations supplémentaires pour déterminer si des fonds étaient insuffisants, afin qu’Alipay puisse gérer les services de paiement d’Apple et associer les informations des utilisateurs aux identifiants Apple.
Le FSS a exprimé des inquiétudes quant au fait que Kakao Pay et Alipay avaient collecté des informations de crédit de tous les clients, et non seulement de ceux concernés par la situation. L’envoi d’informations sur les fonds insuffisants, alors qu’Alipay n’avait besoin que d’associer les utilisateurs aux identifiants Apple, semblait excessif.
Changements de politique et sécurité des données
De plus, selon le régulateur, la politique de partage de données a évolué au fil du temps. « Kakao Pay n’a pas fourni à Alipay les informations de crédit des clients de paiements à l’étranger au début de son partenariat avec Alipay », a-t-il déclaré. En ce qui concerne le cryptage, le FSS a indiqué que Kakao Pay utilisait un programme de cryptage courant sur le marché, qui était simple, sans facteur aléatoire, et que la fintech coréenne n’avait jamais changé de mot de passe.
Le régulateur prévoit de mener un examen juridique approfondi et d’effectuer des inspections sur des cas similaires d’utilisation abusive de données, probablement avec d’autres entités.
Implications pour Kakao et le marché
Ant Group, la société mère d’Alipay, est le deuxième actionnaire de Kakao Pay. Ant Group est une filiale du géant technologique chinois Alibaba Group, opérant en tant qu’entreprise indépendante. Des médias locaux ont rapporté que des acteurs de l’industrie craignaient que des entités chinoises n’utilisent les données collectées de Kakao Pay à des fins de marketing ou pour orienter leur stratégie sur le marché coréen.
La semaine a été difficile pour le groupe Kakao. Les actions de Kakao Pay ont chuté, atteignant un niveau historiquement bas suite à l’annonce de la fuite de données. De plus, jeudi dernier, le fondateur milliardaire de Kakao, Kim Beom-su, a été inculpé pour manipulation du marché boursier, ce qu’il a nié.
