Basic-Fit : un million de membres européens exposés dans une fuite de données incluant des IBAN

18/4/26
👈 les autres actualités

Basic-Fit, le premier opérateur de fitness en Europe, a annoncé le 13 avril 2026 une violation de données affectant environ un million de ses membres dans six pays de l'Union européenne. Des coordonnées bancaires — vraisemblablement des IBAN — figurent parmi les données exfiltrées. Une fuite de grande ampleur qui rappelle aux organisations leurs obligations immédiates sous le RGPD.

Ce qui s'est passé

Le 13 avril 2026, Basic-Fit a notifié l'autorité de protection des données compétente d'un accès non autorisé au système informatique qui enregistre les visites des membres dans ses clubs. L'intrusion a été détectée par les outils de surveillance internes et stoppée en quelques minutes, selon la communication officielle de l'enseigne.

Une enquête menée par des experts en sécurité externes a confirmé que des données stockées dans ce système avaient été téléchargées. Les membres touchés ont reçu une notification individuelle, conformément aux exigences de l'article 34 du RGPD, qui impose d'informer les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

Les données compromises incluent : noms et prénoms, adresses postales, adresses e-mail, numéros de téléphone, dates de naissance et coordonnées bancaires. En revanche, aucun mot de passe ni document d'identité n'a été exposé, précise le communiqué officiel.

Pourquoi c'est important

L'ampleur de l'incident est notable. Basic-Fit compte plus de 2 150 clubs et 5,8 millions de membres répartis dans 12 pays européens. La fuite concerne des membres actifs aux Pays-Bas (environ 200 000 personnes), mais également en Belgique, au Luxembourg, en France, en Espagne et en Allemagne.

Ce qui distingue cet incident d'une fuite classique, c'est la présence des coordonnées bancaires parmi les données exfiltrées. Pour les abonnés, dont les prélèvements mensuels sont directement liés à leur IBAN, le risque de phishing ciblé est réel : un attaquant disposant du nom, de l'adresse, du numéro de téléphone et de l'IBAN d'une victime peut construire des messages d'hameçonnage d'une précision redoutable.

Sur le plan réglementaire, Basic-Fit a agi conformément au délai imposé par l'article 33 du RGPD, qui exige de notifier l'autorité de contrôle compétente dans les 72 heures suivant la découverte d'une violation. La société affirme par ailleurs n'avoir relevé aucune preuve de réutilisation ou de mise en vente des données à ce stade.

Ce que ça change pour les organisations

Cet incident illustre plusieurs réflexes que tout responsable de traitement — et tout DPO — doit avoir en place avant qu'une telle crise survienne.

1. Documenter et notifier dans les délais. La règle des 72 heures est impérative. Basic-Fit a notifié rapidement, ce qui lui évite une infraction caractérisée à l'article 33. Toute organisation qui n'a pas de procédure de réponse à incident documentée s'expose à une double peine : la violation elle-même, et le manquement procédural. Notre guide sur la violation de données personnelles détaille les étapes à suivre.

2. Évaluer le risque résiduel pour les personnes. Dès lors que des coordonnées bancaires sont impliquées, le risque pour les personnes concernées est considéré comme élevé, ce qui déclenche l'obligation de communication individuelle. La combinaison nom + adresse + IBAN constitue un profil exploitable pour de la fraude ou du phishing ciblé.

3. Cartographier précisément les données stockées. Le fait que Basic-Fit ait pu confirmer immédiatement que ni les mots de passe, ni les documents d'identité n'étaient concernés suggère une bonne maîtrise de leur cartographie de données. C'est un prérequis indispensable pour répondre efficacement à une crise. Pour les organisations qui ne savent pas encore exactement quelles données sensibles elles hébergent, notre guide sur les fuites de données constitue un point de départ utile.

4. Surveiller les signaux d'exploitation. Basic-Fit indique qu'une surveillance continue est maintenue avec des experts externes. C'est une bonne pratique : une violation sans preuve de réutilisation immédiate peut très bien déboucher sur des campagnes malveillantes semaines ou mois après l'incident.

Ce que Leto pense de cette décision

Basic-Fit a réagi vite et communiqué de manière transparente — c'est à noter dans un contexte où de nombreuses organisations tentent encore de minimiser ou de retarder la notification. Mais la présence des IBAN dans les données exfiltrées soulève une question de fond : est-il nécessaire de stocker les coordonnées bancaires directement dans un système de gestion des visites ? La minimisation des données, principe cardinal de l'article 5 du RGPD, implique de ne conserver que les données strictement nécessaires à la finalité poursuivie. Un système de pointage en club n'a pas besoin d'accéder aux IBAN. Ce découplage architectural est une mesure de sécurité préventive trop souvent négligée.

Sources : Communiqué officiel Basic-Fit (13 avril 2026) · Numerama · Security Affairs

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026