Date d'effet : 07/03/2026
Version : 2.0
L'utilisation du logiciel HORUS nécessite l'acceptation pleine et entière des présentes Conditions Générales d'Utilisation (ci-après « CGU »). Ces CGU sont établies en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD), la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, ainsi que la Directive (UE) 2022/2555 du 14 décembre 2022 (NIS2).
- Le Fournisseur : désigne la société ISARATECH, personne morale éditrice du logiciel HORUS.
- Le Client : désigne le Service Départemental d'Incendie et de Secours (SDIS) acquérant une licence d'exploitation du logiciel HORUS.
- L'Utilisateur : désigne toute personne physique disposant d'un compte sur le logiciel HORUS et autorisée à y accéder.
- Le Responsable de traitement : désigne le SDIS, qui détermine les finalités et les moyens du traitement des données à caractère personnel dans le cadre de l'utilisation d'HORUS.
- Le Sous-traitant : désigne le Fournisseur (ISARATECH), qui traite des données à caractère personnel pour le compte du Client dans le cadre de la fourniture du logiciel HORUS.
- DPO : Délégué à la Protection des Données, désigné par le SDIS conformément à l'article 37 du RGPD.
- Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD.
Les présentes CGU ont pour objet de définir les conditions d'accès et d'utilisation du logiciel HORUS, les droits et obligations des parties, ainsi que les dispositions relatives à la protection des données à caractère personnel et à la sécurité des systèmes d'information.
Le logiciel HORUS est installé on-premise, c'est-à-dire sur des serveurs possédés ou loués par le Client (SDIS). L'ensemble des traitements de données réalisés par HORUS sont exécutés sur les infrastructures du Client.
Le Client est seul responsable de :
- La mise à disposition, la maintenance et la sécurisation de l'infrastructure serveur
- La gestion des accès réseau et la sécurité périmétrique
- La mise en place du chiffrement des communications (TLS/HTTPS)
- La sauvegarde et la restauration des données
- La conformité de son infrastructure aux exigences de sécurité applicables (notamment NIS2)
La base de données interne contient les informations nécessaires au fonctionnement du logiciel HORUS, notamment :
- Les comptes utilisateurs (identifiants, rôles, paramètres)
- Les adresses courriel utilisées pour l'envoi de rapports et notifications
- Les journaux d'actions des utilisateurs (cf. section 8)
- Les paramètres de configuration du logiciel
Cette base de données est déployée sur les serveurs du Client. Le Client assure sa disponibilité, son intégrité et la confidentialité des données s'y trouvant. Le Fournisseur accède à cette base uniquement dans le cadre de la fourniture du service.
La base de données opérationnelle contient les informations relatives aux interventions, aux agents, aux casernes et aux véhicules. Cette base de données est mise à disposition par le Client et n'est pas gérée par HORUS. HORUS n'opère aucune modification du contenu ou de la structure de cette base de données ; il y accède en lecture seule pour présenter les informations.
Le Client assure la disponibilité, l'intégrité et la confidentialité de la base de données opérationnelle.
L'accès aux bases de données est sécurisé par authentification. Le Client est responsable de la mise en place du chiffrement des communications entre le logiciel et les bases de données, ainsi que du chiffrement des données au repos si nécessaire.
Le logiciel HORUS traite des données dans les finalités suivantes :
- Gestion opérationnelle des interventions : présentation et transmission des données d'intervention aux agents concernés
- Gestion des utilisateurs : authentification, gestion des droits d'accès, personnalisation de l'interface
- Reporting et statistiques : génération de rapports d'activité et de statistiques opérationnelles
- Traçabilité des actions : journalisation des accès et actions des utilisateurs à des fins de sécurité et de conformité aux obligations légales (cf. section 8)
- Notifications : envoi de notifications par email et SMS aux utilisateurs concernés
Les traitements de données sont fondés sur :
- L'exécution d'une mission d'intérêt public (Art. 6(1)(e) du RGPD) : les SDIS exercent une mission de service public de secours et d'incendie
- Le respect d'une obligation légale (Art. 6(1)(c) du RGPD) : notamment pour la traçabilité des accès aux données (cf. section 8)
- L'intérêt légitime (Art. 6(1)(f) du RGPD) : pour la sécurité des systèmes d'information et la prévention des accès non autorisés
Les données sont conservées conformément aux durées définies dans le registre des traitements (document à demander au fournisseur au besoin). À l'expiration de la durée de conservation, les données sont supprimées ou anonymisées.
Les traitements peuvent être interrompus à tout moment par le Client. Ils sont également interrompus à la fin de la durée de concession de la licence d'exploitation du logiciel HORUS.
HORUS traite les catégories de données personnelles suivantes :
| Catégorie |
Données |
Finalité |
| Identité des agents |
Nom, prénom, identifiant |
Gestion des utilisateurs, affichage |
| Coordonnées |
Adresse courriel |
Envoi de rapports et notifications |
| Données de connexion |
Adresse IP, identifiant de session |
Sécurité, traçabilité |
| Données de navigation |
Pages visitées, horodatage des actions |
Traçabilité légale (cf. section 8) |
| Données techniques |
Système d'exploitation, navigateur, type d'appareil |
Compatibilité technique, traçabilité |
| Données de géolocalisation |
Position GPS des agents (si activée) |
Gestion opérationnelle des interventions |
| Données d'intervention |
Informations opérationnelles |
Mission de service public |
Les données personnelles sont accessibles uniquement :
- Aux utilisateurs autorisés du logiciel HORUS, selon leurs droits d'accès
- Au Fournisseur (ISARATECH), dans le cadre strict de la maintenance et du support technique
- Aux autorités judiciaires, sur réquisition légale (cf. section 8)
Aucune donnée personnelle n'est transmise à des tiers à des fins commerciales ou publicitaires.
Le logiciel HORUS peut transmettre des informations à destination de Waze Ltd. pour signaler des incidents routiers. Les données transmises à Waze n'incluent aucune donnée personnelle. Ce service est optionnel et peut être désactivé par le Client.
Le logiciel peut utiliser le service Sentry pour la surveillance des erreurs techniques. Les données transmises à Sentry sont limitées à des informations techniques (traces d'erreurs) et ne contiennent pas de données personnelles identifiantes au-delà de l'identifiant utilisateur anonymisé. Le Client peut désactiver ce service.
Aucun transfert de données personnelles n'est effectué en dehors de l'Union européenne, sauf si le Client en décide autrement dans le cadre de la configuration de son infrastructure.
Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants :
- Droit d'accès (Art. 15) : obtenir la confirmation que des données la concernant sont traitées et accéder à ces données
- Droit de rectification (Art. 16) : demander la rectification de données inexactes
- Droit à l'effacement (Art. 17) : demander la suppression de ses données, sous réserve des obligations légales de conservation
- Droit à la limitation du traitement (Art. 18) : demander la limitation du traitement dans certains cas
- Droit à la portabilité (Art. 20) : recevoir ses données dans un format structuré et lisible par machine
- Droit d'opposition (Art. 21) : s'opposer au traitement de ses données pour des motifs légitimes
Pour exercer ces droits, l'utilisateur doit s'adresser au Délégué à la Protection des Données (DPO) du SDIS, dont les coordonnées sont communiquées par l'administrateur du système.
Le Fournisseur s'engage à assister le Client dans la réponse aux demandes d'exercice des droits des personnes concernées, conformément à l'article 28 du RGPD.
Délai de réponse : Le responsable de traitement (le SDIS) s'engage à répondre aux demandes dans un délai d'un mois à compter de la réception de la demande, conformément à l'article 12(3) du RGPD.
En cas de différend, la personne concernée peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr
Le logiciel HORUS enregistre les actions des utilisateurs (pages consultées, horodatage, adresse IP, informations techniques du terminal) à des fins de :
- Sécurité des systèmes d'information : détection d'accès non autorisés, d'anomalies ou d'incidents de sécurité
- Conformité aux obligations légales : conservation des traces d'accès aux informations opérationnelles en cas de réquisition judiciaire, conformément au Code de procédure pénale
La traçabilité des actions est fondée sur :
- Le respect d'une obligation légale (Art. 6(1)(c) du RGPD) : obligation de conservation des données de connexion prévue par le Code de procédure pénale
- L'exécution d'une mission d'intérêt public (Art. 6(1)(e) du RGPD) : sécurité des systèmes d'information dans le cadre de la mission de service public des SDIS
Les données de traçabilité collectées sont :
- Identifiant de l'utilisateur
- Date et heure de l'action
- Page ou ressource consultée
- Adresse IP de connexion
- Système d'exploitation et version
- Type d'appareil et navigateur
- Identifiant technique de l'appareil
Les journaux d'actions sont conservés conformément aux durées légales applicables :
- Données de connexion : 1 an (Art. R. 10-13 du Code des postes et des communications électroniques)
- Données d'accès aux contenus opérationnels : durée définie par le Client en accord avec les recommandations de la CNIL et les obligations légales applicables
Au-delà de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
L'accès aux journaux d'actions est strictement limité aux administrateurs habilités du système. Ces données peuvent être communiquées aux autorités judiciaires sur réquisition légale.
HORUS met en œuvre les mesures de sécurité suivantes :
- Authentification : système d'authentification par identifiant et mot de passe, avec prise en charge de l'authentification à deux facteurs (2FA) par email ou SMS, et de l'authentification biométrique (WebAuthn/FIDO2)
- Gestion des droits d'accès : système de rôles et permissions granulaire permettant de contrôler l'accès aux données et fonctionnalités
- Filtrage IP : possibilité de restreindre l'accès par adresse IP pour chaque utilisateur
- Verrouillage de compte : possibilité de verrouiller les comptes compromis ou inactifs
- Journalisation : traçabilité des actions et connexions (cf. section 8)
- Tokens sécurisés : utilisation de tokens signés avec expiration automatique et mécanisme de rafraîchissement
Le Client est responsable de :
- La sécurisation de l'infrastructure (serveurs, réseau, pare-feu)
- La mise en place et le maintien du chiffrement des communications (TLS/HTTPS)
- La gestion des certificats de sécurité
- La politique de mots de passe (complexité, renouvellement)
- La sauvegarde et la restauration des données
- La mise à jour régulière du logiciel HORUS et de ses dépendances
- La gestion des accès physiques et logiques aux serveurs
- La notification des incidents de sécurité aux autorités compétentes (ANSSI) conformément à la directive NIS2
Le Fournisseur s'engage à :
- Maintenir un niveau de sécurité approprié dans le développement du logiciel
- Corriger les vulnérabilités de sécurité identifiées dans des délais raisonnables
- Informer le Client de toute vulnérabilité critique découverte
- Assister le Client dans la mise en place des mesures de sécurité
- Ne pas accéder aux données du Client en dehors du cadre strictement nécessaire à la maintenance et au support
Le Fournisseur décline toute responsabilité en cas de divulgation de données résultant :
- D'une défaillance de l'infrastructure du Client
- D'une mauvaise configuration de la sécurité par le Client
- D'un accès non autorisé résultant de la compromission des identifiants d'un utilisateur
- D'un cas de force majeure
Le Fournisseur est responsable des divulgations résultant d'une faille de sécurité du logiciel qui ne pouvait être raisonnablement connue ou contrôlée par le Client.
Conformément à l'article 28 du RGPD, le Fournisseur, en sa qualité de sous-traitant, s'engage à :
- Ne traiter les données personnelles que sur instruction documentée du Client
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement
- Ne pas faire appel à un autre sous-traitant sans l'autorisation préalable écrite du Client
- Assister le Client dans l'exécution de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées
- Aider le Client à garantir le respect des obligations de sécurité, de notification des violations et d'analyse d'impact
- Supprimer ou renvoyer toutes les données personnelles au Client au terme de la prestation, selon le choix du Client
- Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent article
Le Client a le droit de réaliser, ou de faire réaliser par un tiers mandaté, des audits de conformité concernant le respect par le Fournisseur des obligations du présent article, sous réserve d'un préavis raisonnable.
En cas de violation de données personnelles, le Fournisseur notifie le Client dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans les 24 heures. Cette notification comprend :
- La nature de la violation
- Les catégories et le nombre approximatif de personnes concernées
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation
Le Client, en tant que responsable de traitement, est tenu de :
- Notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (Art. 33 RGPD)
- Informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (Art. 34 RGPD)
- Notifier l'ANSSI dans les délais requis par la directive NIS2 (alerte précoce sous 24h, notification sous 72h)
Le logiciel HORUS est la propriété exclusive du Fournisseur. Le Client dispose d'un droit d'utilisation non exclusif, non cessible et non transférable du logiciel, dans les limites de la licence concédée.
Les présentes CGU peuvent être modifiées par le Fournisseur. Toute modification substantielle sera notifiée au Client avec un préavis raisonnable. La continuation de l'utilisation du logiciel après notification vaut acceptation des CGU modifiées.
Les présentes CGU sont régies par le droit français. En cas de litige, les parties s'engagent à rechercher une solution amiable. À défaut, les tribunaux compétents seront ceux du siège social du Fournisseur.
- Éditeur du logiciel : ISARATECH — contact@isaratech.com
- DPO du Client (SDIS) : Les coordonnées du Délégué à la Protection des Données sont communiquées par l'administrateur du système
- Autorité de contrôle : CNIL — www.cnil.fr