Fuite de données chez Basic-Fit : un million de membres exposés, voici vos droits
Le 14 avril 2026, Basic-Fit a confirmé qu'une attaque informatique avait exposé les données d'environ un million de ses membres, sur les 5,8 millions que compte la chaîne de salles de sport. La CNIL a été notifiée. Les clients français concernés ont reçu un email les informant de la fuite. Si vous faites partie des personnes touchées, ou si vous craignez de l'être, voici ce que la loi vous garantit et ce que vous pouvez faire dès aujourd'hui.
Ce qui a fuité, ce qui est en jeu
D'après le communiqué de l'entreprise relayé par plusieurs médias, les données compromises incluent les nom et prénom, l'adresse postale, l'adresse email, le numéro de téléphone, la date de naissance et, pour une partie des membres, le numéro d'IBAN. Les mots de passe et les pièces d'identité ne sont pas concernés.
Cette combinaison n'est pas anodine. Avec un email, un téléphone, une date de naissance et une adresse, un escroc dispose de tout ce qu'il faut pour monter un faux SMS de votre banque, un faux appel "Basic-Fit SAV" qui vous connaît par votre prénom, ou un email de phishing bien ciblé. L'IBAN permet à un fraudeur de tenter un prélèvement SEPA frauduleux. Bonne nouvelle : la loi française encadre strictement ce cas et garantit votre remboursement par la banque, à condition de réagir dans les délais (plus de détail ci-dessous).
Ce que la loi impose à Basic-Fit
Quand une entreprise subit une fuite de données, le Règlement Général sur la Protection des Données (RGPD) déclenche deux obligations automatiques.
Article 33 du RGPD : notifier la CNIL dans les 72 heures. Toute violation de données personnelles susceptible d'affecter les droits et libertés des personnes concernées doit être signalée à la CNIL "dans les meilleurs délais" et au plus tard 72 heures après la découverte de l'incident. La CNIL détaille la procédure sur son site (services-en-ligne/notifier-une-violation-de-donnees-personnelles).
Article 34 du RGPD : informer les personnes concernées en cas de risque élevé. Quand la fuite est susceptible d'entraîner un risque élevé pour vos droits (usurpation d'identité, fraude bancaire, préjudice moral), l'entreprise doit vous contacter directement, en langage clair, en précisant ce qui a fuité et les mesures à prendre.
Si vous recevez un email générique qui minimise l'incident, qui ne liste pas explicitement les données vous concernant ou qui ne donne aucune mesure concrète, cette communication est probablement insuffisante au regard du RGPD. C'est un premier levier de plainte auprès de la CNIL.
Les 4 droits que vous pouvez exercer maintenant
Le RGPD vous donne quatre droits actionnables immédiatement, même si vous n'êtes pas sûr d'être dans la liste des clients touchés.
1. Le droit d'accès (article 15 RGPD). Vous pouvez demander à Basic-Fit la confirmation que vos données font ou non partie de la fuite, et dans quelle mesure. L'entreprise a un mois pour répondre. Cette demande écrite est la première étape avant tout autre recours.
2. Le droit d'effacement (article 17 RGPD). Si vous n'êtes plus membre actif, ou si vous voulez simplement couper le lien, vous pouvez exiger la suppression de toutes vos données personnelles. Basic-Fit ne peut refuser que pour des motifs précis, par exemple une obligation légale de conservation comptable.
3. Le droit de plainte auprès de la CNIL. Si Basic-Fit ne répond pas, répond insuffisamment, ou si vous estimez que ses mesures de sécurité étaient défaillantes, vous pouvez saisir la CNIL directement. Le formulaire en ligne est accessible sur cnil.fr/fr/adresser-une-plainte. La CNIL accuse réception, examine votre dossier, et peut ouvrir une enquête, classer sans suite ou vous rediriger vers une autre autorité si elle estime que ce n'est pas de sa compétence.
4. Le droit à réparation (article 82 RGPD). Si la fuite vous cause un préjudice concret (fraude bancaire avérée, usurpation d'identité, temps passé à sécuriser vos comptes), vous pouvez demander réparation devant le tribunal judiciaire. Attention toutefois, ce droit n'est pas automatique. Il suppose de prouver un préjudice (matériel ou moral) et un lien de causalité entre ce préjudice et la fuite. Être simplement dans la liste des clients touchés ne suffit pas.
Les 3 réflexes de protection immédiate
Indépendamment de la procédure juridique, trois réflexes limitent le risque pratique.
Surveillez votre compte bancaire pendant au moins trois mois. Un IBAN seul ne permet pas un virement frauduleux sortant, mais il autorise des prélèvements SEPA. Deux régimes coexistent en droit français, à ne pas confondre.
Cas 1, prélèvement non autorisé (IBAN détourné, aucun mandat signé de votre part) : la banque doit vous rembourser intégralement, au titre de l'article L133-18 du Code monétaire et financier. Vous disposez d'un délai de 13 mois à partir du débit pour le signaler (article L133-24).
Cas 2, prélèvement SEPA autorisé (mandat signé) : vous pouvez en demander le remboursement sans justification dans les 8 semaines à partir du débit, au titre de l'article L133-25-1 du Code monétaire et financier (règle SEPA européenne). Au-delà, il faut démontrer un préjudice ou une faute. Dans tous les cas, signalez dès que possible et activez, si c'est disponible, les notifications de prélèvement par SMS.
⚠️ Méfiez-vous des communications "Basic-Fit" pendant plusieurs mois. Un email personnalisé qui vous appelle par votre prénom, cite votre date de naissance ou fait référence à votre abonnement peut être un phishing construit avec les données fuitées. Ne cliquez jamais sur un lien dans ce type d'email. Allez directement sur le site officiel en tapant l'adresse vous-même.
Changez vos mots de passe si vous avez réutilisé celui de Basic-Fit ailleurs. Basic-Fit affirme que les mots de passe n'ont pas fuité. Mais si vous utilisez le même mot de passe sur plusieurs services, un incident voisin peut compromettre l'ensemble. Un gestionnaire de mots de passe résout ce problème en quelques minutes.
En pratique : par où commencer
Si vous êtes membre Basic-Fit actif ou ancien, envoyez dès cette semaine une demande d'accès RGPD au DPO de l'entreprise. Conservez l'accusé de réception et datez votre courrier. Si la réponse tarde plus d'un mois ou reste vague, la voie de la plainte CNIL est ouverte. Et si vous constatez un prélèvement suspect, signalez-le d'abord à votre banque, puis intégrez-le à votre plainte comme élément de préjudice.
L'affaire Basic-Fit rappelle que la protection de vos données ne s'arrête pas au moment où vous cliquez "j'accepte". Elle continue pendant toute la durée où l'entreprise les conserve, et le RGPD vous donne les outils pour agir quand elle échoue à les protéger. Cet épisode est aussi l'occasion de faire un point : combien d'entreprises conservent aujourd'hui votre IBAN, votre date de naissance, votre adresse ? Chacune est un maillon possible de la prochaine fuite. Fairmi est là pour vous aider à reprendre le contrôle, un site à la fois.