Mes Waaoh Points et ma cagnotte fidélité peuvent-ils être dépensés par un pirate ?

Indirectement oui. Avec votre numéro de carte fidélité et votre nom, un pirate peut tenter d'accéder à votre compte Waaoh en testant des mots de passe (credential stuffing) — c'est exactement comme ça que la fuite a eu lieu. Pour vous protéger : changez immédiatement votre mot de passe Waaoh, et activez la 2FA si disponible.

Faut-il refuser la composition du foyer lors d'une inscription fidélité ?

Oui, autant que possible. Cette information n'est pas indispensable pour bénéficier d'une carte fidélité, mais les enseignes l'utilisent pour cibler les promotions familiales. En la refusant à l'inscription (ou en la rendant fausse), vous limitez l'exposition en cas de fuite. Sheeldy demande aussi son effacement dans le cadre de votre demande RGPD.

Auchan Drive et Auchan Direct sont-ils concernés au même titre ?

Probablement oui — la base fidélité Waaoh est commune à toutes les enseignes Auchan (hypermarchés, supermarchés, Drive, Direct). Si vous êtes client de l'une de ces enseignes via votre carte fidélité, vos données sont dans le même périmètre exfiltré.

Pourquoi Auchan se fait-il pirater deux fois en moins d'un an ?

La récidive révèle un défaut de remédiation après la première fuite (novembre 2024). Auchan n'a vraisemblablement pas activé de protection anti-credential-stuffing (rate limiting, MFA obligatoire, détection de comportements anormaux) après la première attaque. La CNIL examine si cette répétition constitue un manquement aggravé au RGPD.

Sheeldy envoie-t-il vraiment la demande à Auchan ?

Oui. Une fois confirmé par email, Sheeldy envoie une demande RGPD au DPO Auchan (dpo@auchan.fr) invoquant cumulativement les articles 17 (effacement) et 21 (opposition à la prospection) du RGPD. Vous êtes mis en copie.

Que faire avec ma carte Waaoh si je veux continuer à l'utiliser ?

Si vous voulez garder votre carte, changez immédiatement votre mot de passe (et UTILISEZ UN MOT DE PASSE UNIQUE non utilisé ailleurs). Sheeldy peut quand même demander l'effacement des données superflues (composition du foyer, historique d'achats détaillé) tout en gardant votre identifiant fidélité actif. Précisez votre numéro Waaoh dans le formulaire.

Fuite Auchan — Août 2025 (récidive) Divulguée en août 2025

Effacez vos données chez Auchan —
Plusieurs centaines de milliers de cartes Waaoh exposées, 2ᵉ fuite en 9 mois.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie

Sources confirmées (presse + base spécialisée)

Resco Courtage · cyberattaque ID Protect · centaines de milliers Le Monde Informatique · récidive ZATAZ · cartes Waaoh ID Protect · cagnottes fidélité

Tous les chiffres affichés ci-dessus (cartes fidélité Waaoh exposées, composition du foyer incluse, récidive en 9 mois) sont confirmés par ces 5 sources et par le communiqué d'Auchan à ses clients.

⚖️ Demande RGPD — Articles 17 et 21

Supprimez vos données chez Auchan

Renseignez l'identité utilisée chez Auchan. Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.

Prénom *

Nom *

Email utilisé chez Auchan *

L'adresse que vous avez fournie lors de votre inscription au programme Waaoh. C'est elle qui sera citée dans la demande au DPO.

Numéro de carte fidélité Waaoh (facultatif)

Optionnel mais accélère le traitement côté Auchan. Vous le trouvez au dos de votre carte fidélité ou dans vos emails Waaoh.

En cliquant « Envoyer la demande », vous autorisez Sheeldy à transmettre en votre nom à Auchan une demande de suppression de vos données personnelles (article 17 RGPD) et d'arrêt immédiat de toute prospection commerciale (article 21 RGPD), rédigée à la première personne comme si vous l'écriviez. Vous serez mis en copie de l'email envoyé.

Auchan : votre carte fidélité a parlé. Et elle a tout dit sur votre famille.

Auchan a confirmé en août 2025 une deuxième cyberattaque en 9 mois, exposant les données fidélité Waaoh de plusieurs centaines de milliers de clients. Cette fois, l'attaque par credential stuffing n'a pas seulement révélé votre nom et votre email : elle a exposé la composition de votre foyer — nombre d'adultes, nombre d'enfants — ainsi que votre numéro de carte fidélité et le montant de votre cagnotte. C'est précisément le profil que ciblent les arnaques aux familles (faux remboursements école, fausses bourses CAF). Vous pouvez exiger la suppression complète de vos données au titre de l'article 17 du RGPD (droit à l'effacement) et l'arrêt immédiat de toute prospection commerciale au titre de l'article 21. Sheeldy envoie cette demande à votre place, gratuitement, au DPO officiel d'Auchan.

Section 01 — Les faits

Ce qu'on sait de la fuite Auchan de août 2025

En août 2025, Auchan a notifié à ses clients fidélité une cyberattaque ayant exposé les données du programme Waaoh — soit la deuxième fuite en 9 mois, après celle de novembre 2024. L'origine technique est connue : il s'agit d'une attaque par credential stuffing, c'est-à-dire le rejeu massif, sur l'espace fidélité Waaoh, de couples email/mot de passe issus d'autres fuites de bases de données tierces. Les pirates n'ont pas « cassé » Auchan — ils ont profité du fait que de nombreux clients utilisent le même mot de passe sur plusieurs sites.

Auchan a publiquement attribué la cause à la réutilisation des mots de passe par ses clients. Ce message paternaliste a été immédiatement critiqué par les associations de consommateurs : après une première fuite en novembre 2024, Auchan aurait dû mettre en place des protections anti-credential-stuffing (limitation du nombre de tentatives, MFA obligatoire, détection comportementale). L'absence de ces protections fait peser sur l'enseigne — et non sur le client — la responsabilité juridique principale de la récidive.

Clients Waaoh exposés

Plusieurs centaines de milliers

Composition foyer

Incluse

Période

Août 2025 (récidive)

Cause

Credential stuffing

La particularité — et la dangerosité spécifique — de cette fuite tient à la combinaison composition du foyer + numéro de carte fidélité. Avec ces données, un escroc peut composer un message d'arnaque chirurgicalement crédible : il connaît votre nom, le nombre d'enfants à votre charge, votre adresse, et peut s'appuyer sur votre numéro Waaoh pour se faire passer pour Auchan ou pour une administration (CAF, école). Le ciblage des familles nombreuses est une tendance des arnaques 2025 — la fuite Waaoh leur fournit la base idéale.

Source — récidive

Le Monde Informatique — Encore piraté, Auchan alerte sur une fuite de données clients

Section 02 — Le détail

Quelles données ont fuité ?

Auchan a communiqué la liste précise des champs exposés. Bonne nouvelle : aucun élément bancaire (CB, IBAN), aucun code PIN, et les mots de passe ont été réinitialisés. La nature des données fidélité reste cependant très sensible pour les arnaques familiales personnalisées.

— Exposées

Identité complète + adresse postaleNom, prénom, email, téléphone, adresse, date de naissance

Composition du foyer (nb adultes / nb enfants)Cible idéale pour les arnaques aux familles nombreuses

Numéro de carte fidélité WaaohPermet de se faire passer pour Auchan auprès du client

Montant de la cagnotte fidélitéArgument de phishing : « réclamez votre cagnotte avant expiration »

— Préservées

✓

Mots de passeChangés par Auchan suite à la fuite

✓

Codes PINNon stockés en clair, pas dans le périmètre exfiltré

✓

Données bancaires (CB, IBAN)Aucune compromission financière directe

Section 03 — Vos droits

Ce que Sheeldy demande, et ce qu'Auchan doit obligatoirement faire

Sheeldy envoie à Auchan une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser ce que vous obtenez :

Article 17 du RGPD — droit à l'effacement : Auchan doit supprimer l'intégralité de votre compte fidélité et des données qu'il détient sur vous, dès lors qu'au moins l'un des motifs s'applique (retrait du consentement, fuite récente questionnant la licéité du maintien, données non nécessaires à la relation comptable…).
Article 21 du RGPD — droit d'opposition à la prospection : Auchan doit cesser sans délai toute communication marketing, newsletter Waaoh, SMS promotionnel et profilage publicitaire. Ce droit est absolu et inopposable — aucune justification recevable de la part d'Auchan.

Ce qui est garanti immédiatement (art. 21) : l'arrêt de toutes les communications marketing, newsletters Waaoh, SMS commerciaux et utilisation de vos données pour du profilage publicitaire. Auchan n'a pas le droit de refuser.

Ce qui dépend des obligations comptables (art. 17) : la suppression complète de votre compte Waaoh et de votre historique d'achats. Auchan peut conserver certaines données pour répondre à ses obligations comptables et fiscales (article 17.3.b RGPD). En pratique, l'essentiel des données identifiantes, de la composition du foyer et des données marketing doit être supprimé, mais les traces nécessaires aux obligations légales (~10 ans pour les justificatifs comptables liés aux promotions encaissées) peuvent rester archivées.

Spécificité de la récidive — action collective et sanction CNIL. Comme il s'agit de la deuxième fuite Auchan en 9 mois, plusieurs associations de consommateurs étudient le lancement d'une action de groupe sur le fondement de l'article 80 RGPD. La CNIL, de son côté, pourrait sanctionner Auchan non plus seulement pour la fuite elle-même mais pour défaut de remédiation après la première — un manquement aggravé susceptible d'une amende plus lourde. Conserver la trace de votre demande Sheeldy peut être utile si vous décidez par la suite de rejoindre une action collective.

Auchan dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL.

Remonter au formulaire

Questions fréquentes — Fuite Belambra

Comment savoir si je suis concerné par la fuite Belambra ?

Si vous avez séjourné dans un club Belambra entre novembre 2025 et mai 2026, ou si vous avez créé un compte client sur belambra.com ou belambra.fr durant cette période, vous êtes probablement concerné. La fuite a exposé les noms, prénoms, emails et données de réservation (dont des données associées à des mineurs). Belambra a commencé à notifier les personnes affectées par email — vérifiez votre boîte de réception, y compris les spams.

Mon enfant a séjourné chez Belambra, ses données sont-elles concernées ?

Oui, c'est la spécificité de cette fuite : environ 360 000 dossiers parmi les 402 000 personnes touchées contiennent des données associées à des mineurs (prénom, âge approximatif via la formule de restauration, dates de séjour). Le risque principal n'est pas financier mais social : des SMS de phishing personnalisés au prénom des enfants ont déjà été signalés par des familles. Si vous remplissez le formulaire au nom de votre enfant mineur, indiquez son adresse email si elle existe, ou la vôtre si vous étiez le titulaire du dossier.

Quelles données ont été exposées exactement ?

Nom, prénom, adresse email, dossier de réservation (dates, formule de restauration, nombre d'adultes et d'enfants). Aucune donnée bancaire, aucun mot de passe et aucune pièce d'identité n'ont fuité — vous n'avez pas besoin de changer vos mots de passe ni de surveiller votre compte en banque pour cette fuite précise.

Sheeldy envoie-t-il vraiment la demande à Belambra ?

Oui. Une fois que vous avez confirmé votre demande en cliquant sur le lien reçu par email (double opt-in obligatoire, pour vous protéger des demandes frauduleuses faites par un tiers en votre nom), Sheeldy envoie via la plateforme une demande rédigée à la première personne (comme si vous l'écriviez vous-même) à dpo@belambra.fr, invoquant cumulativement les articles 17 (effacement complet) et 21 (arrêt immédiat du marketing) du RGPD. Vous êtes mis en copie de l'envoi, et toute réponse du DPO vous est directement transmise (Reply-To configuré sur votre adresse).

Quel est le délai de réponse de Belambra ?

Conformément à l'article 12.3 du RGPD, Belambra dispose d'un mois pour répondre à votre demande. Ce délai peut être prolongé de deux mois supplémentaires sur motivation (soit trois mois au total). L'arrêt de la prospection commerciale (article 21) doit en revanche prendre effet sans délai dès réception. Sans réponse à J+30, vous pouvez saisir la CNIL via son téléservice de plainte en ligne.

Le service Sheeldy est-il payant pour cette demande ?

Non, la demande de suppression de données post-fuite est entièrement gratuite. Sheeldy propose ce service en réaction directe aux fuites récentes pour permettre à chacun d'exercer ses droits RGPD facilement. Aucun compte, aucune carte bancaire requise, juste votre email.

Belambra peut-il refuser de supprimer mon compte ?

Belambra peut invoquer ses obligations comptables et fiscales (article 17.3.b RGPD) pour conserver certaines données justificatives jusqu'à 10 ans (factures, preuves de séjour). Dans ce cas, les données identifiantes (nom, email, téléphone, adresse, préférences marketing, profilage) doivent quand même être supprimées, et seules les traces strictement nécessaires aux obligations légales restent archivées dans un système restreint. En revanche, Belambra n'a aucun motif valable pour refuser d'arrêter le marketing (art. 21) — c'est un droit absolu et immédiat. Sheeldy obtient donc toujours au minimum l'arrêt complet de la prospection, et la plupart du temps une suppression effective au-delà.

Que devient mon adresse email après cette demande ?

Sheeldy conserve votre demande pendant 3 ans dans une base isolée (pour la traçabilité juridique de l'envoi au DPO), puis la supprime automatiquement. Votre adresse n'est jamais ajoutée à une mailing list, jamais revendue, jamais utilisée pour autre chose que cette demande précise. Notre seul email vers vous : la confirmation d'envoi au DPO.

Mentions RGPD applicables à ce formulaire

Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom au DPO de Belambra une demande d'effacement et d'opposition à la prospection (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : Belambra (DPO) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.