Effacez vos données chez Belambra —
402 000 personnes touchées, dont 360 000 mineurs.
Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.
Tous les chiffres affichés ci-dessus (402 000 personnes, ~360 000 dossiers de mineurs, faille IDOR, date du 16 mai 2026) sont confirmés par ces 5 sources indépendantes et par le communiqué officiel de Belambra à l'AFP.
Effacez vos données Belambra exposées par la fuite.
Belambra a confirmé le 16 mai 2026 une fuite touchant environ 402 000 personnes, dont près de 360 000 dossiers contenant des données associées à des mineurs. Si vous avez un doute — un séjour il y a 6 mois, un compte créé pour réserver, une location annulée — vous pouvez exiger la suppression complète de vos données au titre de l'article 17 du RGPD (droit à l'effacement) et l'arrêt immédiat de toute prospection commerciale au titre de l'article 21. Sheeldy envoie cette demande à votre place, gratuitement, au DPO officiel de Belambra.
Ce qu'on sait de la fuite Belambra
Le 16 mai 2026, le groupe Belambra a confirmé une cyberattaque ayant exposé les données de ses clients. L'origine technique de la fuite est connue : une vulnérabilité d'autorisation (IDOR — Insecure Direct Object Reference) a permis à un utilisateur authentifié d'accéder à des dossiers ne lui appartenant pas, simplement en modifiant un identifiant dans une URL.
La particularité — et la singularité — de cette fuite, c'est le ratio enfants/adultes. Sur 402 000 personnes, environ 9 dossiers sur 10 contiennent des données de mineurs : prénom, âge approximatif (via la formule de restauration choisie au club), dates de séjour. Des familles ont déjà signalé recevoir des SMS d'arnaque citant le prénom de leurs enfants, ce qui crée un climat anxiogène inédit dans ce type de fuite.
Quelles données ont fuité ?
Belambra a communiqué la liste précise des champs exposés. Bonne nouvelle : aucun élément bancaire ni mot de passe. La nature des données reste cependant sensible — surtout pour les mineurs.
— Exposées
— Préservées
Ce que Sheeldy demande, et ce que Belambra doit obligatoirement faire
Sheeldy envoie à Belambra une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser ce que vous obtenez :
- Article 17 du RGPD — droit à l'effacement : Belambra doit supprimer l'intégralité de votre compte et des données qu'il détient sur vous, dès lors qu'au moins l'un des motifs s'applique (séjour terminé depuis longtemps, retrait du consentement, fuite récente questionnant la licéité du maintien…).
- Article 21 du RGPD — droit d'opposition à la prospection : Belambra doit cesser sans délai toute communication marketing, newsletter et profilage publicitaire. Ce droit est absolu et inopposable — aucune justification recevable de la part de Belambra.
Ce qui est garanti immédiatement (art. 21) : l'arrêt de toutes les communications marketing, newsletters, SMS commerciaux et utilisation de vos données pour du profilage publicitaire. Belambra n'a pas le droit de refuser.
Ce qui dépend des obligations comptables (art. 17) : la suppression complète de votre compte et de votre historique de réservations. Belambra peut conserver certaines données pour répondre à ses obligations comptables et fiscales (article 17.3.b RGPD). En pratique, l'essentiel des données identifiantes et commerciales doit être supprimé, mais les traces nécessaires aux obligations légales (~10 ans pour les justificatifs comptables) peuvent rester archivées.
Belambra dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL.
Remonter au formulaireQuestions fréquentes — Fuite Belambra
Comment savoir si je suis concerné par la fuite Belambra ?
Mon enfant a séjourné chez Belambra, ses données sont-elles concernées ?
Quelles données ont été exposées exactement ?
Sheeldy envoie-t-il vraiment la demande à Belambra ?
Quel est le délai de réponse de Belambra ?
Le service Sheeldy est-il payant pour cette demande ?
Belambra peut-il refuser de supprimer mon compte ?
Que devient mon adresse email après cette demande ?
Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom au DPO de Belambra une demande d'effacement et d'opposition à la prospection (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : Belambra (DPO) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.