Effacez vos données chez Belambra
402 000 personnes touchées, dont 360 000 mineurs.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie
Sources confirmées (presse + base spécialisée)

Tous les chiffres affichés ci-dessus (402 000 personnes, ~360 000 dossiers de mineurs, faille IDOR, date du 16 mai 2026) sont confirmés par ces 5 sources indépendantes et par le communiqué officiel de Belambra à l'AFP.

⚖️ Demande RGPD — Articles 17 et 21
Supprimez vos données Belambra exposées par la fuite
Renseignez l'identité utilisée chez Belambra. Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.
L'adresse que vous avez fournie lors de votre réservation. C'est elle qui sera citée dans la demande au DPO.
Optionnel mais accélère le traitement côté Belambra. Vous le trouvez dans vos emails de confirmation Belambra.

Effacez vos données Belambra exposées par la fuite.

Belambra a confirmé le 16 mai 2026 une fuite touchant environ 402 000 personnes, dont près de 360 000 dossiers contenant des données associées à des mineurs. Si vous avez un doute — un séjour il y a 6 mois, un compte créé pour réserver, une location annulée — vous pouvez exiger la suppression complète de vos données au titre de l'article 17 du RGPD (droit à l'effacement) et l'arrêt immédiat de toute prospection commerciale au titre de l'article 21. Sheeldy envoie cette demande à votre place, gratuitement, au DPO officiel de Belambra.

Section 01 — Les faits

Ce qu'on sait de la fuite Belambra

Le 16 mai 2026, le groupe Belambra a confirmé une cyberattaque ayant exposé les données de ses clients. L'origine technique de la fuite est connue : une vulnérabilité d'autorisation (IDOR — Insecure Direct Object Reference) a permis à un utilisateur authentifié d'accéder à des dossiers ne lui appartenant pas, simplement en modifiant un identifiant dans une URL.

Personnes touchées
~402 000
Mineurs concernés
~360 000
Période exposée
Nov 2025 – Mai 2026
Cause
Faille IDOR

La particularité — et la singularité — de cette fuite, c'est le ratio enfants/adultes. Sur 402 000 personnes, environ 9 dossiers sur 10 contiennent des données de mineurs : prénom, âge approximatif (via la formule de restauration choisie au club), dates de séjour. Des familles ont déjà signalé recevoir des SMS d'arnaque citant le prénom de leurs enfants, ce qui crée un climat anxiogène inédit dans ce type de fuite.

Section 02 — Le détail

Quelles données ont fuité ?

Belambra a communiqué la liste précise des champs exposés. Bonne nouvelle : aucun élément bancaire ni mot de passe. La nature des données reste cependant sensible — surtout pour les mineurs.

— Exposées

Nom et prénom du titulaire du dossierIdentifiant principal pour le phishing ciblé
Adresse emailVecteur de spear-phishing personnalisé
Dossier de réservation completDates d'arrivée/départ, formule choisie
Composition de la familleNombre d'adultes et d'enfants, prénoms des mineurs

— Préservées

Données bancaires (CB, IBAN)Aucune compromission financière directe
Mots de passeNe nécessitent pas de changement post-fuite
Pièce d'identitéAucun risque d'usurpation administrative
Section 03 — Vos droits

Ce que Sheeldy demande, et ce que Belambra doit obligatoirement faire

Sheeldy envoie à Belambra une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser ce que vous obtenez :

Ce qui est garanti immédiatement (art. 21) : l'arrêt de toutes les communications marketing, newsletters, SMS commerciaux et utilisation de vos données pour du profilage publicitaire. Belambra n'a pas le droit de refuser.

Ce qui dépend des obligations comptables (art. 17) : la suppression complète de votre compte et de votre historique de réservations. Belambra peut conserver certaines données pour répondre à ses obligations comptables et fiscales (article 17.3.b RGPD). En pratique, l'essentiel des données identifiantes et commerciales doit être supprimé, mais les traces nécessaires aux obligations légales (~10 ans pour les justificatifs comptables) peuvent rester archivées.

Belambra dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL.

Remonter au formulaire

Questions fréquentes — Fuite Belambra

Comment savoir si je suis concerné par la fuite Belambra ?
Si vous avez séjourné dans un club Belambra entre novembre 2025 et mai 2026, ou si vous avez créé un compte client sur belambra.com ou belambra.fr durant cette période, vous êtes probablement concerné. La fuite a exposé les noms, prénoms, emails et données de réservation (dont des données associées à des mineurs). Belambra a commencé à notifier les personnes affectées par email — vérifiez votre boîte de réception, y compris les spams.
Mon enfant a séjourné chez Belambra, ses données sont-elles concernées ?
Oui, c'est la spécificité de cette fuite : environ 360 000 dossiers parmi les 402 000 personnes touchées contiennent des données associées à des mineurs (prénom, âge approximatif via la formule de restauration, dates de séjour). Le risque principal n'est pas financier mais social : des SMS de phishing personnalisés au prénom des enfants ont déjà été signalés par des familles. Si vous remplissez le formulaire au nom de votre enfant mineur, indiquez son adresse email si elle existe, ou la vôtre si vous étiez le titulaire du dossier.
Quelles données ont été exposées exactement ?
Nom, prénom, adresse email, dossier de réservation (dates, formule de restauration, nombre d'adultes et d'enfants). Aucune donnée bancaire, aucun mot de passe et aucune pièce d'identité n'ont fuité — vous n'avez pas besoin de changer vos mots de passe ni de surveiller votre compte en banque pour cette fuite précise.
Sheeldy envoie-t-il vraiment la demande à Belambra ?
Oui. Une fois que vous avez confirmé votre demande en cliquant sur le lien reçu par email (double opt-in obligatoire, pour vous protéger des demandes frauduleuses faites par un tiers en votre nom), Sheeldy envoie via la plateforme une demande rédigée à la première personne (comme si vous l'écriviez vous-même) à dpo@belambra.fr, invoquant cumulativement les articles 17 (effacement complet) et 21 (arrêt immédiat du marketing) du RGPD. Vous êtes mis en copie de l'envoi, et toute réponse du DPO vous est directement transmise (Reply-To configuré sur votre adresse).
Quel est le délai de réponse de Belambra ?
Conformément à l'article 12.3 du RGPD, Belambra dispose d'un mois pour répondre à votre demande. Ce délai peut être prolongé de deux mois supplémentaires sur motivation (soit trois mois au total). L'arrêt de la prospection commerciale (article 21) doit en revanche prendre effet sans délai dès réception. Sans réponse à J+30, vous pouvez saisir la CNIL via son téléservice de plainte en ligne.
Le service Sheeldy est-il payant pour cette demande ?
Non, la demande de suppression de données post-fuite est entièrement gratuite. Sheeldy propose ce service en réaction directe aux fuites récentes pour permettre à chacun d'exercer ses droits RGPD facilement. Aucun compte, aucune carte bancaire requise, juste votre email.
Belambra peut-il refuser de supprimer mon compte ?
Belambra peut invoquer ses obligations comptables et fiscales (article 17.3.b RGPD) pour conserver certaines données justificatives jusqu'à 10 ans (factures, preuves de séjour). Dans ce cas, les données identifiantes (nom, email, téléphone, adresse, préférences marketing, profilage) doivent quand même être supprimées, et seules les traces strictement nécessaires aux obligations légales restent archivées dans un système restreint. En revanche, Belambra n'a aucun motif valable pour refuser d'arrêter le marketing (art. 21) — c'est un droit absolu et immédiat. Sheeldy obtient donc toujours au minimum l'arrêt complet de la prospection, et la plupart du temps une suppression effective au-delà.
Que devient mon adresse email après cette demande ?
Sheeldy conserve votre demande pendant 3 ans dans une base isolée (pour la traçabilité juridique de l'envoi au DPO), puis la supprime automatiquement. Votre adresse n'est jamais ajoutée à une mailing list, jamais revendue, jamais utilisée pour autre chose que cette demande précise. Notre seul email vers vous : la confirmation d'envoi au DPO.