En bref

  • Basic-Fit, leader européen du fitness, confirme une cyberattaque ayant compromis les données d'un million de membres.
  • Six pays touchés : Pays-Bas, Belgique, France, Allemagne, Luxembourg et Espagne.
  • Noms, adresses, numéros de téléphone, dates de naissance et coordonnées bancaires figurent parmi les données volées.

Ce qui s'est passé

Le géant néerlandais du fitness Basic-Fit a annoncé le 13 avril 2026 qu'une intrusion informatique avait permis à des attaquants d'accéder aux données personnelles d'environ un million de ses membres à travers l'Europe. L'entreprise, qui exploite plus de 1 400 salles de sport dans six pays, a précisé que l'accès non autorisé avait été détecté par ses systèmes de surveillance et stoppé en quelques minutes.

Parmi les données compromises figurent les noms, adresses postales et électroniques, numéros de téléphone, dates de naissance, ainsi que des coordonnées bancaires. Basic-Fit a toutefois confirmé que les mots de passe n'avaient pas été exposés et que l'entreprise ne conserve pas de copies de documents d'identité. Sur le million de personnes affectées, environ 200 000 se trouvent aux Pays-Bas, le reste étant réparti entre la Belgique, la France, l'Allemagne, le Luxembourg et l'Espagne.

À ce stade, Basic-Fit indique n'avoir détecté aucune mise en vente ou publication des données volées sur les forums cybercriminels, mais la surveillance reste active, selon BleepingComputer et The Register qui ont couvert l'incident.

Pourquoi c'est important

Cette fuite illustre une tendance préoccupante : les entreprises du secteur du bien-être et du sport, qui collectent massivement des données personnelles sensibles, deviennent des cibles de choix pour les cybercriminels. Les coordonnées bancaires dérobées ouvrent la porte à des tentatives de fraude ciblée et de phishing personnalisé. Pour les membres français de Basic-Fit, la vigilance est de mise face à d'éventuels messages frauduleux exploitant ces informations.

L'incident soulève également la question de la durée de conservation des données bancaires par les opérateurs de services d'abonnement. Le RGPD impose des obligations strictes en matière de minimisation des données, et les autorités de protection des données des six pays concernés pourraient examiner les pratiques de Basic-Fit à la lumière de cet événement.

Ce qu'il faut retenir

  • Si vous êtes membre Basic-Fit, surveillez vos relevés bancaires et signalez toute transaction suspecte à votre banque.
  • Méfiez-vous des emails ou SMS prétendant provenir de Basic-Fit dans les prochaines semaines : les attaquants pourraient exploiter les données volées pour du phishing ciblé.
  • Les entreprises gérant des abonnements récurrents doivent revoir leur politique de conservation des données bancaires pour limiter l'exposition en cas de breach.

Que faire si vous êtes membre Basic-Fit et potentiellement touché par cette fuite ?

Contactez votre banque pour surveiller ou bloquer les prélèvements suspects, changez vos identifiants sur le site Basic-Fit par précaution, et restez vigilant face aux tentatives de phishing utilisant vos données personnelles. Vous pouvez également signaler l'incident à la CNIL si vous résidez en France.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Articles connexes :

Prendre contact