Fuite Belambra — Mai 2026 Divulguée le 16 mai 2026

Effacez vos données chez Belambra —
402 000 personnes touchées, dont 360 000 mineurs.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie

⚖️ Demande RGPD — Article 17

Mandat d'effacement de données personnelles

Renseignez l'identité utilisée chez Belambra. Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.

Prénom *

Nom *

Email utilisé chez Belambra *

L'adresse que vous avez fournie lors de votre réservation. C'est elle qui sera citée dans la demande au DPO.

Numéro de dossier ou de réservation (facultatif)

Optionnel mais accélère le traitement côté Belambra. Vous le trouvez dans vos emails de confirmation Belambra.

En cliquant « Envoyer la demande », vous mandatez Sheeldy pour transmettre en votre nom à Belambra une demande d'effacement de vos données personnelles, au titre de l'article 17 du RGPD. Vous serez mis en copie de l'email envoyé.

Vous avez vu la fuite chez Belambra ? Êtes-vous sûr de ne pas y avoir de compte ?

Q: Mon enfant a séjourné chez Belambra, ses données sont-elles concernées ?

Oui, c'est la spécificité de cette fuite : environ 360 000 dossiers parmi les 402 000 personnes touchées contiennent des données associées à des mineurs (prénom, âge approximatif via la formule de restauration, dates de séjour). Le risque principal n'est pas financier mais social : des SMS de phishing personnalisés au prénom des enfants ont déjà été signalés par des familles.

Q: Quelles données ont été exposées ?

Les données exposées comprennent : nom, prénom, adresse email, dossiers de réservation, dates d'arrivée et de départ, nombre d'adultes et d'enfants, formule de restauration choisie. Bonne nouvelle : aucune donnée bancaire, aucun mot de passe et aucune pièce d'identité n'ont fuité.

Q: Quel est le délai de réponse de Belambra ?

Conformément à l'article 12.3 du RGPD, Belambra dispose d'un mois pour répondre à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires (soit trois mois au total) si la demande est complexe, mais Belambra doit alors vous notifier la prolongation dans le premier mois avec motivation. Sans réponse à J+30, vous pouvez saisir la CNIL.

Q: Le service Sheeldy est-il payant pour cette demande ?

Non, la demande d'effacement post-fuite est entièrement gratuite. Sheeldy propose ce service en réaction directe aux fuites de données récentes pour permettre à chacun d'exercer ses droits RGPD facilement. Vous n'avez besoin d'aucun compte, aucune carte bancaire, juste votre email.

Belambra a confirmé le 16 mai 2026 une fuite touchant environ 402 000 personnes, dont près de 360 000 dossiers contenant des données associées à des mineurs. Si vous avez un doute — un séjour il y a 6 mois, un compte créé pour réserver, une location annulée — vous avez le droit, au titre de l'article 17 du RGPD, de demander l'effacement de toutes vos données. Sheeldy envoie cette demande à votre place, gratuitement, au DPO officiel de Belambra.

Section 01 — Les faits

Ce qu'on sait de la fuite Belambra

Le 16 mai 2026, le groupe Belambra a confirmé une cyberattaque ayant exposé les données de ses clients. L'origine technique de la fuite est connue : une vulnérabilité d'autorisation (IDOR — Insecure Direct Object Reference) a permis à un utilisateur authentifié d'accéder à des dossiers ne lui appartenant pas, simplement en modifiant un identifiant dans une URL.

Personnes touchées

~402 000

Mineurs concernés

~360 000

Période exposée

Nov 2025 – Mai 2026

Cause

Faille IDOR

La particularité — et la singularité — de cette fuite, c'est le ratio enfants/adultes. Sur 402 000 personnes, environ 9 dossiers sur 10 contiennent des données de mineurs : prénom, âge approximatif (via la formule de restauration choisie au club), dates de séjour. Des familles ont déjà signalé recevoir des SMS d'arnaque citant le prénom de leurs enfants, ce qui crée un climat anxiogène inédit dans ce type de fuite.

Source officielle

ICI — Cyberattaques : après Pierre et Vacances, Belambra touché à son tour par une fuite de données

Section 02 — Le détail

Quelles données ont fuité ?

Belambra a communiqué la liste précise des champs exposés. Bonne nouvelle : aucun élément bancaire ni mot de passe. La nature des données reste cependant sensible — surtout pour les mineurs.

— Exposées

Nom et prénom du titulaire du dossierIdentifiant principal pour le phishing ciblé

Adresse emailVecteur de spear-phishing personnalisé

Dossier de réservation completDates d'arrivée/départ, formule choisie

Composition de la familleNombre d'adultes et d'enfants, prénoms des mineurs

— Préservées

✓

Données bancaires (CB, IBAN)Aucune compromission financière directe

✓

Mots de passeNe nécessitent pas de changement post-fuite

✓

Pièce d'identitéAucun risque d'usurpation administrative

Section 03 — Vos droits

Vous avez le droit de demander l'effacement complet

Le RGPD (article 17) vous donne le droit d'exiger que Belambra efface intégralement les données qu'il détient sur vous, dès lors qu'au moins l'un des motifs suivants s'applique :

Article 17.1.a — les données ne sont plus nécessaires pour la finalité qui justifiait leur collecte (votre séjour est terminé depuis longtemps).
Article 17.1.c — vous vous opposez à tout traitement à des fins de prospection commerciale.
Article 17.1.d — sous-jacent à la fuite : la violation de sécurité interroge la licéité du maintien des données au regard de l'article 32 RGPD.

Sheeldy compose pour vous une demande formelle qui invoque ces trois motifs cumulativement, et l'envoie à l'adresse dpo@belambra.fr en se présentant comme votre mandataire. Vous êtes mis en copie de l'envoi, et toute réponse du DPO vous parvient directement (Reply-To configuré sur votre adresse).

Belambra dispose ensuite d'un délai légal d'un mois pour répondre (prolongeable à trois mois sur motivation explicite). Sans réponse à J+30, vous pouvez saisir la CNIL.

Remonter au formulaire

Questions fréquentes — Fuite Belambra

Comment savoir si je suis concerné par la fuite Belambra ?

Si vous avez séjourné dans un club Belambra entre novembre 2025 et mai 2026, ou si vous avez créé un compte client sur belambra.com ou belambra.fr durant cette période, vous êtes probablement concerné. La fuite a exposé les noms, prénoms, emails et données de réservation (dont des données associées à des mineurs). Belambra a commencé à notifier les personnes affectées par email — vérifiez votre boîte de réception, y compris les spams.

Mon enfant a séjourné chez Belambra, ses données sont-elles concernées ?

Oui, c'est la spécificité de cette fuite : environ 360 000 dossiers parmi les 402 000 personnes touchées contiennent des données associées à des mineurs (prénom, âge approximatif via la formule de restauration, dates de séjour). Le risque principal n'est pas financier mais social : des SMS de phishing personnalisés au prénom des enfants ont déjà été signalés par des familles. Si vous remplissez le formulaire au nom de votre enfant mineur, indiquez son adresse email si elle existe, ou la vôtre si vous étiez le titulaire du dossier.

Quelles données ont été exposées exactement ?

Nom, prénom, adresse email, dossier de réservation (dates, formule de restauration, nombre d'adultes et d'enfants). Aucune donnée bancaire, aucun mot de passe et aucune pièce d'identité n'ont fuité — vous n'avez pas besoin de changer vos mots de passe ni de surveiller votre compte en banque pour cette fuite précise.

Sheeldy envoie-t-il vraiment la demande à Belambra ?

Oui. Une fois que vous avez confirmé votre demande en cliquant sur le lien reçu par email (double opt-in obligatoire, pour vous protéger des demandes frauduleuses faites par un tiers en votre nom), Sheeldy envoie une demande formelle d'effacement à dpo@belambra.fr au titre de l'article 17 du RGPD. Vous êtes mis en copie de l'envoi, et toute réponse du DPO vous est directement transmise (Reply-To configuré sur votre adresse).

Quel est le délai de réponse de Belambra ?

Conformément à l'article 12.3 du RGPD, Belambra dispose d'un mois pour répondre à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires (soit trois mois au total) en cas de demande complexe, mais Belambra doit alors vous notifier la prolongation dans le premier mois avec motivation. Sans réponse à J+30, vous pouvez saisir la CNIL via son téléservice de plainte en ligne.

Le service Sheeldy est-il payant pour cette demande ?

Non, la demande d'effacement post-fuite est entièrement gratuite. Sheeldy propose ce service en réaction directe aux fuites récentes pour permettre à chacun d'exercer ses droits RGPD facilement. Aucun compte, aucune carte bancaire requise, juste votre email.

Que devient mon adresse email après cette demande ?

Sheeldy conserve votre demande pendant 3 ans dans une base isolée (pour la traçabilité juridique de l'envoi au DPO), puis la supprime automatiquement. Votre adresse n'est jamais ajoutée à une mailing list, jamais revendue, jamais utilisée pour autre chose que cette demande précise. Notre seul email vers vous : la confirmation d'envoi au DPO.

Mentions RGPD applicables à ce formulaire

Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre une demande d'effacement RGPD au DPO de Belambra en qualité de mandataire. Base légale : exécution du mandat (art. 6.1.b RGPD). Destinataires : Belambra (DPO) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.