En bref : Bien qu’une « action collective » contre le responsable du traitement soit possible, les tribunaux coréens accordent généralement des dommages-intérêts conservateurs, rendant ce type de litige pratiquement irréaliste.
En aparté, les « actions collectives » (où un demandeur représentatif agit au nom d’un groupe ayant des réclamations similaires ou identiques) sont limitées aux litiges en valeurs mobilières en Corée. Des discussions ont eu lieu pour étendre ce mécanisme, mais aucune législation n’a encore été adoptée. Quoi qu’il en soit, il s’agit d’une simple question technique : plusieurs demandeurs aux demandes similaires peuvent toujours s’associer pour déposer une seule action (généralement avec une représentation juridique commune), ce qui n’est techniquement pas une action collective, mais atteint néanmoins un effet similaire. Par souci de simplicité, nous utiliserons le terme « action collective » dans cette réponse.
En droit de la responsabilité civile coréen, les dommages-intérêts sont divisés en dommages pécuniaires (pour les préjudices financiers) et en dommages non pécuniaires (pour les souffrances morales). De plus, les dommages-intérêts punitifs ne sont généralement pas reconnus, et la charge de la preuve incombe habituellement au demandeur, qui doit établir à la fois la survenance et le montant précis du préjudice. Étant donné que les violations de données personnelles n’entraînent rarement un préjudice financier immédiat et quantifiable, il est souvent difficile d’établir les dommages dans de tels cas. Pour remédier à cela, la loi sur la protection des renseignements personnels (PIPA, la principale législation coréenne en matière de protection des données) offre deux protections clés : (1) les personnes concernées ayant subi une violation de données peuvent réclamer des dommages-intérêts raisonnables pouvant atteindre 3 millions de KRW, et (2) la charge de la preuve est transférée au responsable du traitement, ce dernier devant démontrer son absence de négligence (article 39-2).
Néanmoins, les montants récupérables restent modestes (pour rester poli). Les tribunaux coréens ont tendance à être plus conservateurs (par rapport aux tribunaux américains, par exemple) dans l’évaluation des dommages, accordant entre 100 000 et 200 000 KRW par demandeur dans les affaires typiques de violation de données à grande échelle. De plus, les dommages-intérêts punitifs ne sont pas reconnus dans les affaires de violation de données. Bien que les indemnités puissent augmenter en cas de divulgation intentionnelle, elles atteignent rarement le plafond légal, lequel n’est lui-même pas élevé (3 millions de KRW).
Cela dit, une action collective peut encore avoir un sens dans certains cas : (i) lorsque la classe est suffisamment importante pour que le coût juridique par personne soit inférieur à l’indemnité attendue ; (ii) lorsque la classe est nombreuse et que, malgré le faible montant accordé à chaque demandeur, le montant agrégé est suffisamment élevé pour « punir » l’entreprise ; ou (iii) lorsque l’objectif est principalement symbolique – par exemple, envoyer un message à l’entreprise ou générer de la publicité. Dans le cas contraire, il peut ne pas être justifié pour des demandeurs individuels cherchant réparation financière.
