Suis-je concerné si j'ai été embauché entre 2022 et 2025 ?

Très probablement. La DSN (Déclaration Sociale Nominative) couvre la quasi-totalité des contrats de travail français déclarés à l'URSSAF par les employeurs. Si vous avez signé un contrat de travail (CDI, CDD, intérim) entre 2022 et 2025, vos données d'embauche figurent dans la base URSSAF.

Mon employeur est-il informé que mes données ont fuité via lui ?

L'URSSAF a notifié les organismes employeurs concernés. Mais aucune obligation légale n'impose à votre employeur de vous le notifier individuellement, à part le DPO de l'entreprise si elle en a un. Vous pouvez demander à votre service RH si votre entreprise a reçu une notification URSSAF.

Cette fuite URSSAF facilite-t-elle l'usurpation pour souscrire un crédit ?

Indirectement oui. La combinaison nom + prénom + date de naissance + employeur (SIRET) + date d'embauche est précisément ce qu'une banque vérifie avant d'accorder un crédit conso ou un découvert. Un fraudeur disposant de ces infos peut tenter une demande de crédit en se faisant passer pour vous, surtout si le créancier ne contrôle pas via SMS validation.

Mon salaire ou mes cotisations détaillées ont-ils fuité ?

Non. Seules les données d'embauche (nom, dates, SIRET employeur) ont été exfiltrées. Les montants de salaire, les cotisations détaillées, le NIR (numéro de Sécu) et les IBAN ne sont pas dans cette fuite. Vous restez exposé administrativement mais pas financièrement.

Sheeldy envoie-t-il vraiment la demande à l'URSSAF ?

Oui. Une fois confirmé par email, Sheeldy envoie une demande RGPD au DPO de l'ACOSS / Caisse nationale URSSAF (dpo.acoss@urssaf.fr) invoquant cumulativement les articles 17 (effacement) et 21 (opposition à la prospection) du RGPD. Vous êtes mis en copie.

L'URSSAF peut-elle refuser d'effacer mon dossier ?

Oui, partiellement. L'URSSAF est un organisme public de sécurité sociale avec des obligations légales de conservation des cotisations sociales (jusqu'à 30 ans pour les calculs de retraite). L'effacement complet n'est possible qu'après extinction des droits retraite. En revanche, l'URSSAF doit cesser tout traitement non strictement nécessaire (art. 21 RGPD) — notamment les transferts de données vers les partenaires DSN.

Fuite URSSAF — Septembre 2025 Divulguée en septembre 2025

Effacez vos données chez l'URSSAF —
12 millions de salariés exposés via la chaîne DSN.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie

Sources confirmées (presse + base spécialisée)

franceinfo · 12M salariés L'Informaticien · analyse technique CNIL · cadre cybersécurité URSSAF · politique données France Bleu · couverture régionale

Les chiffres affichés ci-dessus (12 millions de salariés, exfiltration via compte partenaire DSN, septembre 2025) sont confirmés par franceinfo et L'Informaticien — l'URSSAF a confirmé l'incident sans diffuser de communiqué grand public.

⚖️ Demande RGPD — Articles 17 et 21

Supprimez vos données à l'URSSAF

Renseignez l'identité utilisée pour votre déclaration sociale. Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.

Prénom *

Nom *

Email de contact *

Cette adresse sera citée dans la demande au DPO de l'URSSAF et vous recevrez la copie de l'envoi.

Numéro de Sécurité sociale (NIR) (facultatif)

Optionnel mais permet à l'URSSAF d'identifier votre dossier plus rapidement. Vous pouvez aussi laisser vide.

En cliquant « Envoyer la demande », vous autorisez Sheeldy à transmettre en votre nom à l'URSSAF (Caisse nationale, DPO de l'ACOSS) une demande d'effacement de vos données personnelles (article 17 RGPD) et d'opposition à tout traitement non strictement nécessaire — notamment les transferts vers les partenaires DSN (article 21 RGPD), rédigée à la première personne comme si vous l'écriviez. Vous serez mis en copie de l'email envoyé.

URSSAF : 12 millions de salariés piratés sans le savoir, parce qu'embauchés dans les 3 dernières années

L'URSSAF a confirmé en septembre 2025 un accès frauduleux via le compte d'un partenaire DSN externe exposant les données d'environ 12 millions de salariés — sans qu'aucun de ces salariés ne se soit jamais directement inscrit auprès de l'URSSAF. La fuite révèle la profondeur de la chaîne DSN (Déclaration Sociale Nominative) : chaque embauche déclarée par votre employeur remonte jusqu'à l'URSSAF, qui devient l'agrégateur invisible de tous les contrats de travail français. Sheeldy envoie cette demande à votre place, gratuitement, au DPO de l'ACOSS / Caisse nationale URSSAF, au titre des articles 17 et 21 du RGPD.

Section 01 — Les faits

Ce qu'on sait de la fuite URSSAF de septembre 2025

En septembre 2025, l'URSSAF (Caisse nationale, ACOSS) a confirmé un accès frauduleux à des données personnelles de salariés. L'origine technique a été identifiée : un compte de partenaire externe — un sous-traitant utilisateur de la DSN (Déclaration Sociale Nominative) — a été compromis. Ce partenaire disposait d'accès étendus à des données déclaratives, et l'attaquant s'en est servi pour exfiltrer un volume massif d'enregistrements d'embauche.

La DSN est le canal par lequel les employeurs déclarent mensuellement à l'URSSAF les contrats de travail, les embauches et les sorties. L'URSSAF agrège ces flux pour alimenter ensuite l'ensemble du système de sécurité sociale (Assurance Maladie, retraite, Pôle emploi). Concrètement, chaque CDI, CDD ou contrat d'intérim signé en France remonte indirectement jusqu'à l'URSSAF, sans que le salarié n'ait jamais à s'inscrire personnellement nulle part. C'est ce qui explique pourquoi 12 millions de personnes sont concernées sans avoir aucun « compte URSSAF » à leur nom.

Salariés exposés

~12 M

Partenaire compromis

Période

Septembre 2025

Cause

Compte DSN externe

La singularité de cette fuite, c'est l'exposition indirecte : la quasi-totalité des personnes touchées n'ont jamais saisi leur identité dans un quelconque formulaire URSSAF. Elles ont simplement signé un contrat de travail dans les trois dernières années. La chaîne DSN — invisible pour le salarié — est devenue le vecteur de fuite, ce qui rend l'exercice du droit à l'effacement particulièrement légitime : les personnes concernées n'ont jamais individuellement consenti à figurer dans cette base.

Source officielle

franceinfo — L'URSSAF a subi un accès frauduleux à des données personnelles de salariés : 12 millions de personnes potentiellement concernées

Section 02 — Le détail

Quelles données ont fuité ?

L'URSSAF a communiqué la nature des champs touchés via la chaîne DSN compromise. La fuite est limitée aux données déclaratives d'embauche — aucun montant financier, aucun identifiant Sécu, aucun IBAN. La combinaison reste cependant exploitable pour de l'usurpation administrative ciblée.

— Exposées

Identité (nom, prénom, date de naissance)Triplet de base utilisé par les organismes financiers et administratifs

SIRET de votre employeurIdentifie précisément l'entreprise qui vous a embauché

Date d'embaucheCombinée au SIRET, reconstitue votre parcours professionnel récent

Type de contratCDI, CDD, intérim — exploitable pour scénarios de phishing RH ciblés

— Préservées

✓

Salaire et cotisations détailléesAucun montant exact n'a été exfiltré

✓

NIR / numéro de Sécurité socialeIdentifiant pivot du système social non compromis

✓

IBANAucune compromission financière directe

Section 03 — Vos droits

Ce que Sheeldy demande, et ce que l'URSSAF doit obligatoirement faire

Sheeldy envoie à l'URSSAF une demande RGPD cumulative, c'est-à-dire qu'elle invoque deux articles à la fois pour maximiser ce que vous obtenez :

Article 17 du RGPD — droit à l'effacement : l'URSSAF doit supprimer les données qu'elle détient sur vous dès lors qu'au moins l'un des motifs s'applique (retrait du consentement, fuite récente questionnant la licéité du maintien, traitement non strictement nécessaire à la mission de service public…).
Article 21 du RGPD — droit d'opposition : l'URSSAF doit cesser sans délai tout traitement non strictement nécessaire — notamment les transferts vers les partenaires DSN et les utilisations secondaires non directement liées au recouvrement des cotisations.

Ce qui est garanti immédiatement (art. 21) : l'arrêt de tout traitement non strictement nécessaire à la mission de service public — en particulier les transferts vers des partenaires externes au-delà du strict besoin de gestion des cotisations. Ce droit est opposable même à un organisme public.

Ce qui dépend des obligations légales (art. 17) : l'URSSAF est un organisme public de sécurité sociale avec des obligations légales de conservation des données de cotisations sociales — notamment jusqu'à 30 ans pour les calculs de retraite (Code de la sécurité sociale, articles relatifs à la liquidation des droits). L'effacement complet n'est juridiquement possible qu'après extinction de tous les droits sociaux. En pratique, la demande Sheeldy obtient au minimum la limitation du traitement, l'arrêt des transferts vers les partenaires DSN non strictement nécessaires, et la documentation écrite du périmètre de conservation.

L'URSSAF dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL.

Remonter au formulaire

Questions fréquentes — Fuite Belambra

Comment savoir si je suis concerné par la fuite Belambra ?

Si vous avez séjourné dans un club Belambra entre novembre 2025 et mai 2026, ou si vous avez créé un compte client sur belambra.com ou belambra.fr durant cette période, vous êtes probablement concerné. La fuite a exposé les noms, prénoms, emails et données de réservation (dont des données associées à des mineurs). Belambra a commencé à notifier les personnes affectées par email — vérifiez votre boîte de réception, y compris les spams.

Mon enfant a séjourné chez Belambra, ses données sont-elles concernées ?

Oui, c'est la spécificité de cette fuite : environ 360 000 dossiers parmi les 402 000 personnes touchées contiennent des données associées à des mineurs (prénom, âge approximatif via la formule de restauration, dates de séjour). Le risque principal n'est pas financier mais social : des SMS de phishing personnalisés au prénom des enfants ont déjà été signalés par des familles. Si vous remplissez le formulaire au nom de votre enfant mineur, indiquez son adresse email si elle existe, ou la vôtre si vous étiez le titulaire du dossier.

Quelles données ont été exposées exactement ?

Nom, prénom, adresse email, dossier de réservation (dates, formule de restauration, nombre d'adultes et d'enfants). Aucune donnée bancaire, aucun mot de passe et aucune pièce d'identité n'ont fuité — vous n'avez pas besoin de changer vos mots de passe ni de surveiller votre compte en banque pour cette fuite précise.

Sheeldy envoie-t-il vraiment la demande à Belambra ?

Oui. Une fois que vous avez confirmé votre demande en cliquant sur le lien reçu par email (double opt-in obligatoire, pour vous protéger des demandes frauduleuses faites par un tiers en votre nom), Sheeldy envoie via la plateforme une demande rédigée à la première personne (comme si vous l'écriviez vous-même) à dpo@belambra.fr, invoquant cumulativement les articles 17 (effacement complet) et 21 (arrêt immédiat du marketing) du RGPD. Vous êtes mis en copie de l'envoi, et toute réponse du DPO vous est directement transmise (Reply-To configuré sur votre adresse).

Quel est le délai de réponse de Belambra ?

Conformément à l'article 12.3 du RGPD, Belambra dispose d'un mois pour répondre à votre demande. Ce délai peut être prolongé de deux mois supplémentaires sur motivation (soit trois mois au total). L'arrêt de la prospection commerciale (article 21) doit en revanche prendre effet sans délai dès réception. Sans réponse à J+30, vous pouvez saisir la CNIL via son téléservice de plainte en ligne.

Le service Sheeldy est-il payant pour cette demande ?

Non, la demande de suppression de données post-fuite est entièrement gratuite. Sheeldy propose ce service en réaction directe aux fuites récentes pour permettre à chacun d'exercer ses droits RGPD facilement. Aucun compte, aucune carte bancaire requise, juste votre email.

Belambra peut-il refuser de supprimer mon compte ?

Belambra peut invoquer ses obligations comptables et fiscales (article 17.3.b RGPD) pour conserver certaines données justificatives jusqu'à 10 ans (factures, preuves de séjour). Dans ce cas, les données identifiantes (nom, email, téléphone, adresse, préférences marketing, profilage) doivent quand même être supprimées, et seules les traces strictement nécessaires aux obligations légales restent archivées dans un système restreint. En revanche, Belambra n'a aucun motif valable pour refuser d'arrêter le marketing (art. 21) — c'est un droit absolu et immédiat. Sheeldy obtient donc toujours au minimum l'arrêt complet de la prospection, et la plupart du temps une suppression effective au-delà.

Que devient mon adresse email après cette demande ?

Sheeldy conserve votre demande pendant 3 ans dans une base isolée (pour la traçabilité juridique de l'envoi au DPO), puis la supprime automatiquement. Votre adresse n'est jamais ajoutée à une mailing list, jamais revendue, jamais utilisée pour autre chose que cette demande précise. Notre seul email vers vous : la confirmation d'envoi au DPO.

Mentions RGPD applicables à ce formulaire

Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom au DPO de Belambra une demande d'effacement et d'opposition à la prospection (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : Belambra (DPO) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.