Politique de confidentialité
Version 1.0 - Dernière mise à jour : 25 juin 2026
Préambule
La présente Politique de confidentialité a pour objet d'informer les utilisateurs et clients du service SYAGA Audit sur la manière dont leurs données à caractère personnel sont collectées, traitées et protégées, conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
SYAGA Audit est un service d'audit de sécurité et de conformité de l'environnement Microsoft 365, opérant en lecture seule sur les configurations et métadonnées du tenant Microsoft 365 du client. Le Service n'accède pas au contenu des messages, fichiers ou e-mails des utilisateurs du tenant audité, et ne stocke aucun mot de passe.
Le présent document satisfait l'obligation d'information prévue aux articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD.
1. Identité et coordonnées du responsable de traitement
Le responsable de traitement pour les données de compte et de gestion de la relation client est :
SYAGA CONSULTING
- Forme : Société à responsabilité limitée (SARL) au capital de 20 000 EUR
- SIREN : 518 489 471 -- RCS Aix-en-Provence
- Siège social : 2 Impasse Paul Langevin, 13110 Port-de-Bouc
- Numéro de TVA intracommunautaire : FR93 518489471
- Courriel : contact@syaga.fr
Articulation sous-traitant / responsable de traitement : pour les données de configuration et métadonnées du tenant Microsoft 365 collectées lors de l'audit, SYAGA agit en qualité de sous-traitant au sens de l'article 28 du RGPD, le client restant responsable de traitement de ses propres données M365. La présente politique couvre le périmètre pour lequel SYAGA agit en qualité de responsable de traitement (données de compte, facturation, support). Le traitement réalisé pour le compte du client est régi par l'Accord de traitement des données (DPA).
Contact protection des données
Pour toute demande relative à la protection des données : contact@syaga.fr
La désignation d'un délégué à la protection des données n'est pas obligatoire au sens de l'article 37 du RGPD ; le responsable de traitement, en la personne du gérant, est le point de contact pour toute question relative aux données personnelles.
2. Données à caractère personnel collectées
2.1 Données de compte et de gestion de la relation client
SYAGA collecte, en qualité de responsable de traitement :
- Identité du contact : nom, prénom, fonction
- Coordonnées professionnelles : adresse e-mail, raison sociale
- Données d'authentification au Service (token OAuth Microsoft -- aucun mot de passe stocké côté SYAGA Audit)
- Données de facturation et de gestion contractuelle
- Données de support et échanges
- Journaux techniques de connexion (adresses IP, horodatages)
2.2 Données d'audit (configuration et métadonnées Microsoft 365)
Dans le cadre de l'audit, le Service accède en lecture seule, via l'API Microsoft Graph, aux données de configuration et métadonnées du tenant M365 du client, notamment :
- Paramètres de configuration de sécurité (politiques d'accès conditionnel, paramètres MFA, paramètres de partage)
- Métadonnées relatives aux comptes utilisateurs (UPN, rôles, statut MFA, attributs d'annuaire Entra ID)
- Indicateurs et métadonnées de posture de sécurité (Secure Score, alertes de configuration)
Ce que le Service ne collecte pas : contenu des e-mails, fichiers, documents, messages, mots de passe, données sensibles au sens de l'article 9 du RGPD.
Architecture éphémère : l'audit s'exécute en mémoire vive dans un conteneur de scan jetable (aucun stockage sur disque). Le rapport est remis une fois au client, puis les données brutes de scan et le token d'accès sont purgés. Le token est chiffré au repos (Fernet) pendant la durée de l'audit. TTL de sécurité maximal : 2 heures. SYAGA ne conserve côté serveur que les données de facturation, conformément aux obligations légales.
2.3 Cookies et traceurs
Le site syaga.eu utilise uniquement des cookies strictement nécessaires au fonctionnement du Service :
__jsc: cookie de sécurité anti-bot, durée de sessionvigil_audit: cookie de session, durée de session
Aucun cookie de mesure d'audience (Google Analytics, Matomo ou équivalent) ni aucun cookie publicitaire n'est déposé. Ces cookies strictement nécessaires sont exemptés de consentement préalable conformément aux lignes directrices de la CNIL du 4 juillet 2023 (source : cnil.fr -- cookies et traceurs). Une notice d'information sur ces cookies est suffisante.
3. Finalités et bases légales du traitement
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée :
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Fourniture et exécution du Service d'audit ; création et gestion du compte client | Exécution du contrat -- Art. 6.1.b |
| Facturation, comptabilité, recouvrement | Obligation légale (Code de commerce art. L.123-22) et exécution du contrat -- Art. 6.1.c et 6.1.b |
| Support et assistance technique | Exécution du contrat -- Art. 6.1.b |
| Sécurité du Service, prévention de la fraude, journalisation | Intérêt légitime -- Art. 6.1.f |
| Cookies strictement nécessaires | Exemptés de consentement (lignes directrices CNIL) |
Pour les données d'audit du tenant (section 2.2), SYAGA agit sur instruction du client (responsable de traitement). Voir le DPA.
4. Destinataires et sous-traitants
Les données ne sont communiquées qu'aux personnes habilitées au sein de SYAGA CONSULTING ainsi qu'aux sous-traitants intervenant dans les conditions de l'article 28 du RGPD :
- Microsoft Corporation : fournisseur de l'API Microsoft Graph, utilisée en lecture seule pour accéder aux données de configuration du tenant du client. Les données auditées sont celles du propre tenant Microsoft 365 du Client, consultées en lecture seule pour son compte via Microsoft Graph. Microsoft agit comme fournisseur du Client ; SYAGA n'en est pas le sous-traitant ultérieur.
- Stripe Inc. : prestataire de paiement pour le traitement des données de facturation. Les transferts vers Stripe sont encadrés par l'EU-U.S. Data Privacy Framework, auquel Stripe est certifié, et, à titre subsidiaire, par les Clauses Contractuelles Types de la Commission européenne (2021) intégrées au Data Transfers Addendum de Stripe (sources : stripe.com/legal/dpa et stripe.com/legal/dta).
- Hébergeur : OVH SAS, 2 rue Kellermann, 59100 Roubaix, France (RCS Lille Métropole 424 761 419). Le service est hébergé en France par OVH SAS (hébergeur français), sous-traitant technique de SYAGA CONSULTING. SYAGA CONSULTING ne reçoit que des données pseudonymisées (jetons).
Aucune donnée n'est vendue ni cédée à des tiers à des fins commerciales.
Les données peuvent être communiquées à des autorités administratives ou judiciaires lorsque la loi l'exige.
5. Durées de conservation
Les données sont conservées pour une durée n'excédant pas celle nécessaire aux finalités poursuivies (art. 5.1.e RGPD) :
| Catégorie de données | Durée de conservation |
|---|---|
| Données d'audit brutes (findings, token d'accès) | Zéro rétention côté serveur : purgées à la livraison du Rapport (architecture éphémère, TTL maximal 2 heures) |
| Données de compte client actif | Durée de la relation contractuelle, puis suppression dans un délai de 30 jours après résiliation |
| Données de facturation et pièces comptables | 10 ans à compter de la clôture de l'exercice (obligation légale, art. L.123-22 Code de commerce) |
| Journaux techniques (logs de connexion) | 12 mois (recommandation CNIL) |
6. Transferts de données hors Union européenne
L'infrastructure hébergeant le Service SYAGA Audit est localisée en France. En principe, aucun transfert de données n'est réalisé hors UE / EEE par SYAGA.
Concernant Microsoft : le Responsable de traitement reconnaît que l'API Microsoft Graph est opérée par Microsoft Corporation (Etats-Unis). Les transferts éventuels impliquant Microsoft sont encadrés par ses clauses contractuelles types approuvées par la Commission européenne et, le cas échéant, par sa participation au cadre EU-U.S. Data Privacy Framework. Les données auditées sont celles du propre tenant Microsoft 365 du Client, consultées en lecture seule pour son compte via Microsoft Graph. Microsoft agit comme fournisseur du Client. Les transferts éventuels impliquant l'infrastructure Microsoft sont encadrés par les clauses contractuelles types approuvées par la Commission européenne et la participation de Microsoft au cadre EU-U.S. Data Privacy Framework.
Stripe Inc. opère des transferts hors UE encadrés par des mécanismes conformes au chapitre V du RGPD. Les transferts vers Stripe sont encadrés par l'EU-U.S. Data Privacy Framework, auquel Stripe est certifié, et, à titre subsidiaire, par les Clauses Contractuelles Types de la Commission européenne (2021) intégrées au Data Transfers Addendum de Stripe.
7. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants :
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que des données la concernant sont traitées et en obtenir copie
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes
- Droit à l'effacement (art. 17) : obtenir la suppression dans les cas prévus par le RGPD
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité (art. 20) : recevoir ses données dans un format structuré et lisible par machine
- Droit d'opposition (art. 21) : s'opposer au traitement pour des raisons tenant à sa situation particulière, et à tout moment en matière de prospection commerciale
- Droit de retrait du consentement (art. 7.3) à tout moment lorsque le traitement est fondé sur le consentement
- Droit post-mortem (art. 85 loi Informatique et Libertés) : définir des directives relatives au sort des données après le décès
Important pour les données d'audit : pour les données de configuration et métadonnées du tenant, les demandes d'exercice des droits doivent être adressées au client (responsable de traitement), qui sollicitera SYAGA si nécessaire (art. 28.3.e RGPD).
Modalités d'exercice
Ces droits s'exercent en adressant une demande à contact@syaga.fr ou par courrier à SYAGA CONSULTING 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Une réponse est apportée dans un délai d'un mois (art. 12.3 RGPD), prorogeable de deux mois en cas de complexité.
Réclamation auprès de la CNIL
Toute personne concernée dispose du droit d'introduire une réclamation auprès de la CNIL (art. 77 RGPD) :
CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr
8. Sécurité des données (art. 32 RGPD)
SYAGA met en oeuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque (art. 32 RGPD) :
- Architecture éphémère : audit exécuté en mémoire vive, conteneur de scan jetable sans stockage sur disque ; données brutes purgées à la livraison du Rapport
- Moindre privilège : connexion via OAuth Microsoft avec les permissions les plus étroites proposées par Microsoft pour chaque périmètre audité ; le Service n'écrit, ne modifie ni ne supprime jamais aucune donnée du tenant
- Chiffrement en transit : TLS 1.2/1.3 sur toutes les communications ; SPF, DKIM et DMARC activés sur les emails
- Chiffrement au repos : token d'accès chiffré (Fernet) pendant la durée de l'audit
- Hébergement en France : infrastructure OVH (France)
- Contrôle des accès : principe du moindre privilège ; habilitations nominatives
- Protection anti-abus : plafond de 2 audits/jour/tenant, mesures anti-DDoS
- Notification des violations : procédure conforme aux art. 33 et 34 RGPD (notification CNIL dans les 72 h)
Alignement multi-référentiels
Les mesures de sécurité de SYAGA Audit sont conçues en cohérence avec plusieurs référentiels de sécurité reconnus. SYAGA ne revendique aucune certification formelle sur ces référentiels les mesures sont alignées sur les exigences de la norme ISO/IEC 27001, une démarche de certification étant engagée, sans certification obtenue à ce jour ; les mesures sont alignées sur et inspirées de ces cadres :
- RGPD (Règlement UE 2016/679) : base réglementaire directement applicable -- eur-lex.europa.eu CELEX:32016R0679
- Directive NIS2 (Directive UE 2022/2555) : mesures de gestion des risques, sécurité des réseaux et des systèmes d'information -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, dont l'effectif et le chiffre d'affaires sont en deçà des seuils des entités importantes au sens de la directive (UE) 2022/2555 (50 salariés ou 10 M EUR), n'entre pas dans le champ des entités assujetties à NIS2. SYAGA Audit aide néanmoins ses clients à mesurer leur conformité à ce référentiel (source : monespacenis2.cyber.gouv.fr).
- DORA (Règlement UE 2022/2554) : résilience opérationnelle numérique pour le secteur financier -- eur-lex.europa.eu CELEX:32022R2554. SYAGA n'étant pas une entité financière régulée, le règlement (UE) 2022/2554 (DORA) ne lui est pas directement applicable ; des obligations contractuelles peuvent toutefois s'appliquer au cas par cas lorsqu'un client est une entité financière soumise à DORA (source : eur-lex.europa.eu DORA).
- ISO/IEC 27001 : cadre de référence pour les systèmes de management de la sécurité de l'information (SMSI) -- iso.org/standard/27001. Les mesures de SYAGA Audit sont alignées sur les exigences de la norme ISO/IEC 27001, une démarche de certification étant engagée, sans certification obtenue à ce jour.
- Recommandations ANSSI : Guide d'hygiène informatique et recommandations de l'Agence nationale de la sécurité des systèmes d'information -- ssi.gouv.fr.
SYAGA Audit aide précisément ses clients à mesurer leur propre conformité à ces référentiels (RGPD, NIS2, ANSSI) au sein de leur environnement Microsoft 365.
9. Modifications de la présente politique
La présente Politique peut être mise à jour pour refléter les évolutions légales, réglementaires ou techniques. La version en vigueur est celle publiée sur https://syaga.eu/confidentialite.html. En cas de modification substantielle, les utilisateurs enregistrés seront informés par courriel dans un délai raisonnable avant l'entrée en vigueur des modifications.
10. Contact
Pour toute question relative à la présente politique ou à la protection de vos données :
- Courriel : contact@syaga.fr
- Adresse : SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc
Références légales et documentaires
- Règlement (UE) 2016/679 (RGPD) -- texte intégral : eur-lex.europa.eu CELEX:32016R0679
- Loi n° 78-17 du 6 janvier 1978 modifiée : Légifrance
- CNIL -- droits des personnes : cnil.fr
- CNIL -- cookies : cnil.fr
- Directive NIS2 (UE) 2022/2555 : eur-lex.europa.eu CELEX:32022L2555
- Règlement DORA (UE) 2022/2554 : eur-lex.europa.eu CELEX:32022R2554
- ISO/IEC 27001 : iso.org/standard/27001
- ANSSI -- Guide d'hygiène informatique : ssi.gouv.fr