Date d'effet : 07/03/2026
Version : 1.0
La présente politique de protection des données personnelles décrit les engagements d'ISARATECH (ci-après « le Fournisseur ») et du Service Départemental d'Incendie et de Secours (ci-après « le SDIS » ou « le Client ») concernant la protection des données à caractère personnel traitées dans le cadre de l'utilisation du logiciel HORUS.
Cette politique est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).
Le SDIS (Client) est responsable de traitement au sens de l'article 4(7) du RGPD. Il détermine les finalités et les moyens du traitement des données personnelles dans le cadre de l'utilisation d'HORUS.
Chaque SDIS utilisateur d'HORUS est tenu de :
ISARATECH agit en qualité de sous-traitant au sens de l'article 4(8) du RGPD. Le Fournisseur traite les données personnelles uniquement sur instruction documentée du Client et dans le cadre strict de la fourniture, de la maintenance et du support du logiciel HORUS.
| Donnée | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Nom et prénom | Identification de l'utilisateur | Mission d'intérêt public (Art. 6(1)(e)) | Durée du compte + 1 an après suppression |
| Identifiant (login) | Authentification | Mission d'intérêt public | Durée du compte + 1 an après suppression |
| Adresse courriel | Envoi de rapports et notifications | Mission d'intérêt public | Durée du compte + 1 an après suppression |
| Mot de passe (haché) | Authentification | Mission d'intérêt public | Durée du compte |
| Rôles et permissions | Contrôle d'accès | Mission d'intérêt public | Durée du compte |
| Adresse IP autorisée | Filtrage de sécurité | Intérêt légitime (Art. 6(1)(f)) | Durée du compte |
| Paramètres utilisateur | Personnalisation de l'interface | Mission d'intérêt public | Durée du compte |
| Donnée | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Adresse IP de connexion | Sécurité et traçabilité judiciaire | Obligation légale (Art. 6(1)(c)) | 1 an (LCEN) |
| Pages consultées | Historisation des accès aux données opérationnelles | Obligation légale (Art. 6(1)(c)) | Définie par le SDIS |
| Date et heure des actions | Horodatage des accès | Obligation légale (Art. 6(1)(c)) | 1 an (LCEN) |
| Système d'exploitation | Identification du terminal | Obligation légale (Art. 6(1)(c)) | 1 an (LCEN) |
| Type d'appareil et navigateur | Identification du terminal | Obligation légale (Art. 6(1)(c)) | 1 an (LCEN) |
| Identifiant technique d'appareil | Corrélation des sessions | Obligation légale (Art. 6(1)(c)) | 1 an (LCEN) |
| Donnée | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Position GPS des agents | Gestion opérationnelle des interventions | Mission d'intérêt public (Art. 6(1)(e)) | Durée de l'intervention + archivage défini par le SDIS |
La géolocalisation est une fonctionnalité optionnelle activée par le SDIS. Lorsqu'elle est activée, les agents en sont informés.
Les données relatives aux interventions (victimes, circonstances, adresses, etc.) sont stockées dans la base de données opérationnelle du SDIS. HORUS y accède en lecture seule pour les présenter aux utilisateurs autorisés. La gestion de ces données (conservation, sécurité, accès) relève de la seule responsabilité du SDIS.
Les données personnelles sont traitées pour les finalités suivantes :
Conformément aux articles 15 à 22 du RGPD, toute personne dont les données sont traitées par HORUS dispose des droits suivants :
| Droit | Description | Limitations éventuelles |
|---|---|---|
| Accès (Art. 15) | Obtenir une copie de ses données personnelles | — |
| Rectification (Art. 16) | Faire corriger des données inexactes | — |
| Effacement (Art. 17) | Faire supprimer ses données | Limité par les obligations légales de conservation (traçabilité) |
| Limitation (Art. 18) | Restreindre le traitement de ses données | — |
| Portabilité (Art. 20) | Recevoir ses données dans un format structuré | Applicable aux données fournies par la personne |
| Opposition (Art. 21) | S'opposer au traitement | Limité pour les traitements fondés sur l'intérêt public |
Pour exercer ses droits, la personne concernée doit adresser sa demande au Délégué à la Protection des Données (DPO) du SDIS dont elle relève. Les coordonnées du DPO sont communiquées lors de la création du compte ou sont disponibles auprès de l'administration du SDIS.
Délai de réponse : 1 mois à compter de la réception de la demande (Art. 12(3) RGPD). Ce délai peut être prolongé de 2 mois en cas de demande complexe, sous réserve d'en informer la personne concernée.
Justification d'identité : Toute demande doit être accompagnée d'un justificatif d'identité.
En cas de désaccord avec la réponse apportée ou en l'absence de réponse dans le délai imparti, la personne concernée peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
Le Fournisseur met en œuvre les mesures techniques suivantes dans le logiciel :
Le Fournisseur s'engage à :
Le SDIS, en tant que responsable de traitement et exploitant de l'infrastructure, est responsable de :
En cas de violation de données personnelles (accès non autorisé, perte, destruction, altération) :
Toute violation de données est documentée dans un registre des violations, incluant :
Le Fournisseur n'a pas recours à des sous-traitants ultérieurs pour le traitement des données personnelles hébergées sur l'infrastructure du Client, sauf :
Tout recours à un nouveau sous-traitant ultérieur sera soumis à l'autorisation préalable du Client.
Aucun transfert de données personnelles n'est effectué par HORUS en dehors de l'Union européenne, sous réserve de la configuration de l'infrastructure par le Client.
Si le service Sentry est activé et que les serveurs Sentry sont situés hors UE, les transferts sont encadrés par les clauses contractuelles types de la Commission européenne (Art. 46(2)(c) RGPD).
Compte tenu de la nature des données traitées (données de géolocalisation, données opérationnelles relatives à des interventions de secours, traçabilité systématique), une Analyse d'Impact relative à la Protection des Données (AIPD) au sens de l'article 35 du RGPD est recommandée.
Le SDIS, en tant que responsable de traitement, est tenu de réaliser cette AIPD. Le Fournisseur s'engage à assister le SDIS dans cette démarche.
La présente politique est révisée au moins une fois par an et à chaque modification significative du logiciel impactant le traitement des données personnelles.
| Version | Date | Modifications |
|---|---|---|
| 1.0 | 07/03/2026 | Version initiale conforme RGPD |