SYAGA AuditMicrosoft 365 Edition
Inicio Funcionalidades Seguridad Cómo funciona Tarifas
Iniciar sesión Iniciar mi diagnóstico gratuito

Acuerdo de Tratamiento de Datos (DPA)

Celebrado en aplicación del artículo 28 del Reglamento (UE) 2016/679 (RGPD) (fuente: gdpr-info.eu/art-28-gdpr)

Servicio afectado: SYAGA Audit -- auditoría de seguridad y de conformidad Microsoft 365, solo lectura

Versión: 1.0 -- Fecha: 27 de junio de 2026 -- Fecha de entrada en vigor: 27 de junio de 2026


Identificación de las Partes

El Encargado del tratamiento:

SYAGA CONSULTING, sociedad de responsabilidad limitada (SARL) con un capital de 20 000 euros, inscrita en el RCS de Aix-en-Provence con el SIREN 518 489 471, constituida el 08/12/2009, representada por su gerente Sébastien Questier, con domicilio social en 2 Impasse Paul Langevin, 13110 Port-de-Bouc, editora del servicio SYAGA Audit, en lo sucesivo denominada el Encargado del tratamiento.

Y

El Responsable del tratamiento: el Cliente que ha suscrito el servicio SYAGA Audit en las condiciones de las CGV disponibles en la dirección cgu.html, cuyos datos de contacto son los facilitados en el momento de la suscripción, en lo sucesivo denominado el Responsable del tratamiento.

En lo sucesivo designadas conjuntamente las Partes.


Preámbulo

El presente Acuerdo de Tratamiento de Datos (DPA) se celebra en aplicación del artículo 28 del RGPD, que exige que un tratamiento realizado por un encargado del tratamiento por cuenta de un responsable del tratamiento se rija por un contrato que defina el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos de carácter personal, las categorías de personas afectadas, así como las obligaciones y derechos del responsable del tratamiento.

El presente DPA es accesorio a las Condiciones Generales de Venta y de Servicio (CGV) de SYAGA Audit (el Contrato principal). En caso de contradicción entre el presente DPA y el Contrato principal sobre una cuestión relativa a la protección de datos, prevalece el presente DPA. En caso de contradicción relativa a la protección de datos personales, el presente DPA prevalece sobre las CGU.

Al suscribir el servicio SYAGA Audit, el Cliente acepta los términos del presente DPA. La aceptación electrónica equivale a la aceptación del DPA de conformidad con las disposiciones aplicables a la celebración de contratos por vía electrónica.


Artículo 1 -- Objeto y doctrina del servicio

El presente DPA define las condiciones en las que el Encargado del tratamiento se compromete a efectuar, por cuenta y siguiendo instrucciones documentadas del Responsable del tratamiento, las operaciones de tratamiento de datos de carácter personal necesarias para la prestación del servicio SYAGA Audit.

SYAGA Audit realiza una auditoría de seguridad y de conformidad del entorno Microsoft 365 del Responsable del tratamiento en modo de solo lectura: el Servicio no escribe, no modifica ni suprime ningún dato en el inquilino auditado.

El Encargado del tratamiento aplica una doctrina zero-knowledge: la recopilación y la seudonimización se ejecutan en el navegador del Cliente (extensión). El Encargado del tratamiento nunca recibe los datos brutos del inquilino ni el token de acceso Microsoft del Cliente: únicamente huellas seudonimizadas. Los resultados de auditoría tokenizados se conservan en el espacio del cliente para permitir al Cliente reabrirlos, mientras esté activo; solo se recontextualizan en claro en el puesto del Cliente.


Artículo 2 -- Naturaleza, finalidad y duración del tratamiento

2.1 Naturaleza de las operaciones. Las operaciones consisten en: recopilación (lectura, mínimo privilegio) a través de las API de Microsoft, efectuada por una extensión de navegador ejecutada en el puesto del Cliente; seudonimización local; análisis por el Encargado del tratamiento únicamente de las huellas seudonimizadas a la luz de referenciales de seguridad (ANSSI, recomendaciones de Microsoft, RGPD, NIS2); restitución en forma de informes recontextualizados en el puesto del Cliente.

2.2 Finalidad exclusiva. La finalidad es la evaluación de la postura de seguridad y de conformidad del inquilino Microsoft 365 del Responsable del tratamiento y la elaboración de los informes de auditoría asociados. No se autoriza ninguna otra finalidad (prospección, elaboración de perfiles, reutilización para fines propios del Encargado del tratamiento).

2.3 Duración. El tratamiento se efectúa durante la duración de ejecución del Contrato principal. Los datos brutos se purgan inmediatamente en el momento de la entrega del Informe.


Artículo 3 -- Categorías de datos de carácter personal tratados

El Encargado del tratamiento trata las siguientes categorías de datos:

  • Datos de configuración y metadatos de seguridad: parámetros del inquilino, políticas de acceso condicional, configuración MFA, roles y permisos administrativos, parámetros de uso compartido, estados de activación de las funcionalidades de seguridad
  • Metadatos de identidad y de directorio: identificadores de cuentas (UPN), nombres para mostrar, pertenencia a grupos, atributos de directorio pertinentes para la auditoría
  • Registros y metadatos de eventos de seguridad: registros de conexión, eventos de auditoría, metadatos necesarios para la evaluación de los controles

Exclusiones expresas. El Encargado del tratamiento no trata el contenido de los correos electrónicos, de los archivos ni de los documentos. Únicamente se tratan metadatos y datos de configuración.

Categorías especiales. El tratamiento no tiene por objeto el tratamiento de categorías especiales de datos en el sentido del artículo 9 del RGPD. El Responsable del tratamiento se compromete a no configurar el servicio de una manera que conduzca a tal tratamiento.


Artículo 4 -- Categorías de personas afectadas

Las personas afectadas son los titulares de cuentas e identidades dentro del inquilino Microsoft 365 del Responsable del tratamiento: empleados, directivos, administradores, prestadores e invitados que dispongan de una cuenta en el directorio auditado.


Artículo 5 -- Instrucciones documentadas del Responsable del tratamiento

El Encargado del tratamiento trata los datos únicamente siguiendo instrucciones documentadas del Responsable del tratamiento (art. 28.3.a RGPD), incluso en lo que respecta a las transferencias a un tercer país, salvo obligación legal imperativa (en cuyo caso informa al Responsable del tratamiento antes del tratamiento, salvo prohibición legal).

El presente DPA, sus anexos y las CGV constituyen las instrucciones documentadas iniciales. El Encargado del tratamiento informa inmediatamente al Responsable del tratamiento si considera que una instrucción constituye una infracción del RGPD (art. 28.3, último párrafo RGPD).


Artículo 6 -- Confidencialidad

El Encargado del tratamiento vela por que las personas autorizadas a tratar los datos se comprometan a respetar la confidencialidad o estén sujetas a una obligación legal apropiada de confidencialidad (art. 28.3.b RGPD), y reciban la formación necesaria en materia de protección de datos. Este compromiso subsiste tras el cese de sus funciones y tras la finalización del presente DPA.


Artículo 7 -- Medidas de seguridad (art. 32 RGPD) y alineación con referenciales

El Encargado del tratamiento aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD). Las medidas implantadas comprenden en particular:

  • Arquitectura zero-knowledge: recopilación y seudonimización ejecutadas en el navegador del Cliente (extensión); el Encargado del tratamiento solo recibe huellas seudonimizadas; los datos brutos del inquilino y el token Microsoft nunca le son transmitidos
  • Mínimo privilegio: conexión mediante OAuth Microsoft con los permisos más restringidos ofrecidos por Microsoft para cada perímetro; el Servicio nunca escribe, modifica ni suprime ningún dato del inquilino auditado
  • Cifrado en tránsito: TLS 1.2/1.3 en todas las comunicaciones; SPF, DKIM y DMARC activados
  • Token Microsoft: nunca sale del navegador del Cliente; el Encargado del tratamiento nunca lo recibe ni lo almacena
  • Alojamiento en Francia: infraestructura OVH (Francia) operada para SYAGA CONSULTING
  • Gestión de accesos: principio de mínimo privilegio; habilitaciones nominativas; revisión periódica
  • Anti-abuso: límite de 2 auditorías/día/inquilino; medidas anti-DDoS
  • Registro: trazabilidad de los accesos a los datos
  • Pruebas periódicas de la eficacia de las medidas de seguridad

Alineación con los marcos de seguridad reconocidos

Las medidas anteriores están concebidas en coherencia con los siguientes referenciales. SYAGA no reivindica ninguna certificación formal sobre estos referenciales las medidas están alineadas con los requisitos de la norma ISO/IEC 27001, habiéndose iniciado un proceso de certificación, sin certificación obtenida hasta la fecha; se trata de una alineación funcional:

ReferencialPertinencia para SYAGA AuditFuente oficial
RGPD (UE) 2016/679 Base reglamentaria directamente aplicable. Art. 32: medidas técnicas y organizativas. Arquitectura efímera = medida de minimización conforme al art. 5.1.e. eur-lex.europa.eu CELEX:32016R0679
Directiva NIS2 (UE) 2022/2555 Medidas de gestión de los riesgos de ciberseguridad (art. 21 NIS2): continuidad de la actividad, gestión de incidentes, seguridad de las redes, cifrado. SYAGA Audit ayuda a los clientes a evaluar su propia conformidad con NIS2 en su inquilino M365. SYAGA, cuya plantilla y volumen de negocio se sitúan por debajo de los umbrales de las entidades importantes en el sentido de la Directiva (UE) 2022/2555 (50 empleados o 10 M EUR), no entra en el ámbito de las entidades sujetas a NIS2. No obstante, SYAGA Audit ayuda a sus clientes a medir su conformidad con este referencial. eur-lex.europa.eu CELEX:32022L2555
Reglamento DORA (UE) 2022/2554 Resiliencia operativa digital para las entidades financieras reguladas. SYAGA Audit puede ayudar a los clientes financieros a documentar su postura DORA en su inquilino M365. Al no ser SYAGA una entidad financiera regulada, DORA no le es directamente aplicable; pueden aplicarse obligaciones contractuales caso por caso para los clientes del sector financiero sujetos a DORA. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 Marco SGSI: política de seguridad, gestión de riesgos, controles de acceso, cifrado, registro. Las medidas de SYAGA Audit están alineadas con los controles ISO 27002 correspondientes. Las medidas de SYAGA Audit están alineadas con los requisitos de la norma ISO/IEC 27001, habiéndose iniciado un proceso de certificación, sin certificación obtenida hasta la fecha. iso.org/standard/27001
Recomendaciones del CCN Guía de higiene informática, recomendaciones de seguridad de los sistemas de información. Medidas inspiradas en las recomendaciones del CCN sobre la gestión de cuentas, el cifrado y el registro. SYAGA Audit evalúa las configuraciones M365 a la luz de las recomendaciones del CCN. ssi.gouv.fr

El detalle completo de las medidas técnicas y organizativas figura en el Anexo 1.


Artículo 8 -- Recurso a subencargados ulteriores

El Responsable del tratamiento autoriza al Encargado del tratamiento a recurrir a los subencargados ulteriores enumerados en el Anexo 2. Para cualquier nuevo subencargado o sustitución, el Encargado del tratamiento informa al Responsable del tratamiento por escrito al menos treinta (30) días antes de su entrada en vigor, disponiendo el Responsable del tratamiento de un plazo de treinta (30) días para oponerse por motivos razonables relacionados con la protección de datos (art. 28.2 y 28.4 RGPD). Estos plazos y modalidades son aplicables salvo acuerdo particular entre las Partes.

El Encargado del tratamiento impone a los subencargados ulteriores, por contrato, las mismas obligaciones de protección de datos que las previstas en el presente DPA (art. 28.4 RGPD) y sigue siendo plenamente responsable frente al Responsable del tratamiento de su ejecución.


Artículo 9 -- Asistencia al Responsable del tratamiento

9.1 Derechos de las personas afectadas (art. 12 a 22 y 28.3.e RGPD). El Encargado del tratamiento transmite sin demora al Responsable del tratamiento cualquier solicitud de ejercicio de derechos recibida directamente de una persona afectada y le asiste para responder a ella.

9.2 Seguridad y EIPD (art. 32 a 36 y 28.3.f RGPD). El Encargado del tratamiento asiste al Responsable del tratamiento en la seguridad del tratamiento, la realización de una evaluación de impacto (EIPD) si es necesaria, y una consulta previa a la AEPD en su caso.

9.3 Violaciones de datos (art. 33 y 34 RGPD). El Encargado del tratamiento notifica al Responsable del tratamiento cualquier violación de datos en un plazo máximo de cuarenta y ocho (48) horas tras haber tenido conocimiento de ella a la mayor brevedad, de manera que permita al responsable del tratamiento respetar el plazo de 72 horas previsto en el artículo 33 del RGPD, facilitando la información útil para la eventual notificación.


Artículo 10 -- Destino de los datos al finalizar el contrato

Al término del presente DPA, el Encargado del tratamiento procede, en un plazo de treinta (30) días tras la finalización del contrato, según la elección del Responsable del tratamiento notificada por escrito (art. 28.3.g RGPD):

Nota: habida cuenta de la arquitectura efímera del servicio, ningún dato de auditoría se conserva al término de la prestación; únicamente los datos de facturación se conservan según las obligaciones legales (10 años).

  • bien a la restitución al Responsable del tratamiento de los datos de carácter personal tratados, en un formato estructurado (JSON o CSV según disponibilidad);
  • bien a la supresión segura del conjunto de los datos, incluidas las copias, salvo obligación legal de conservación.

Conforme a la arquitectura efímera del servicio, los datos brutos de auditoría ya están purgados en el momento de la entrega del Informe. El Encargado del tratamiento facilita, previa solicitud, un certificado de supresión.


Artículo 11 -- Auditorías y controles

El Encargado del tratamiento pone a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD y permite la realización de auditorías, incluidas inspecciones (art. 28.3.h RGPD).

Las auditorías están sujetas a las siguientes condiciones: preaviso por escrito de al menos treinta (30) días hábiles, realización durante el horario laboral, frecuencia máxima de una (1) auditoría por período de doce (12) meses salvo circunstancia excepcional (en particular incidente de seguridad acreditado), gastos a cargo del Responsable del tratamiento, confidencialidad de la información obtenida.


Artículo 12 -- Transferencias fuera de la Unión Europea

12.1 Localización principal. Los datos se tratan y alojan en Francia. SYAGA CONSULTING es una entidad de Derecho francés. No puede excluirse totalmente una exposición indirecta a la CLOUD Act a través de proveedores terceros; SYAGA la limita mediante el alojamiento en Francia (OVH SAS) y sobre todo mediante la seudonimización: el servicio solo recibe tokens, nunca sus datos en claro.

12.2 Recurso a Microsoft. El Responsable del tratamiento reconoce que la API Microsoft Graph es operada por Microsoft Corporation (Estados Unidos). Las transferencias que implican a Microsoft se rigen por las cláusulas contractuales tipo aprobadas por la Comisión Europea y, en su caso, el marco EU-U.S. Data Privacy Framework. Los datos auditados son los del propio inquilino Microsoft 365 del Cliente, consultados en modo de solo lectura por su cuenta a través de Microsoft Graph. Microsoft actúa como proveedor del Cliente; SYAGA no es su subencargado ulterior.

12.3 Garantías generales. Toda transferencia fuera de la UE realizada por el Encargado del tratamiento o un subencargado ulterior está supeditada a la aplicación de un mecanismo válido en el sentido del capítulo V del RGPD (decisión de adecuación, cláusulas contractuales tipo u otra garantía apropiada).


Artículo 13 -- Contacto de protección de datos

Encargado del tratamiento (SYAGA CONSULTING): punto de contacto para la protección de datos -- contact@syaga.fr. La designación de un delegado de protección de datos no es obligatoria en el sentido del artículo 37 del RGPD; el responsable de la protección de datos es el gerente, Sébastien Questier, punto de contacto para cualquier cuestión relativa a los datos personales.

Responsable del tratamiento: contacto RGPD designado por el Cliente según sus propias obligaciones.


Artículo 14 -- Duración, modificación y Derecho aplicable

El presente DPA entra en vigor en el momento de la suscripción al servicio SYAGA Audit y permanece vigente durante toda la duración del tratamiento realizado por cuenta del Responsable del tratamiento.

Toda modificación sustancial es objeto de una notificación previa al Responsable del tratamiento. La continuación del uso del servicio tras el plazo de notificación equivale a la aceptación de las modificaciones. Estas modalidades de modificación se ajustan a los requisitos del artículo 28 del RGPD para los acuerdos de encargo del tratamiento.

El presente DPA se rige por el Derecho francés. Todo litigio es competencia de los tribunales de la jurisdicción de Aix-en-Provence. sin perjuicio de las normas de orden público aplicables a los litigios transfronterizos.


Anexo 1 -- Descripción detallada del tratamiento y medidas de seguridad (art. 32 RGPD)

ParámetroDescripción
FinalidadesAuditoría de seguridad y de conformidad M365 -- elaboración de informes
Categorías de datosMetadatos de configuración, metadatos de identidad (UPN, nombres), registros de seguridad
Categorías especiales (art. 9)Ninguna
Personas afectadasCuentas e identidades del inquilino Microsoft 365 del Cliente
Conservación del lado del servidorDatos brutos del inquilino: nunca transmitidos (seudonimización en el navegador). Resultados tokenizados: conservados en el espacio del cliente mientras el Cliente esté activo.
Lugar de tratamientoFrancia (infraestructura SYAGA CONSULTING)
Cifrado en tránsitoTLS 1.2/1.3 -- todas las comunicaciones; SPF/DKIM/DMARC
Token MicrosoftNunca sale del navegador del Cliente; nunca recibido por el Encargado del tratamiento
ArquitecturaRecopilación y seudonimización mediante una extensión en el navegador del Cliente; el Encargado del tratamiento solo analiza huellas
Gestión de accesosPrincipio de mínimo privilegio; habilitaciones nominativas
Anti-abusoLímite 2 auditorías/día/inquilino; anti-DDoS
RegistroRegistros técnicos mínimos de explotación y de seguridad, sin datos de auditoría personales, conservados aproximadamente 12 meses conforme a las recomendaciones de la AEPD.
Alineación con referenciales de seguridadMedidas alineadas con RGPD art. 32, ISO/IEC 27001 (habiéndose iniciado un proceso de certificación, sin certificación obtenida hasta la fecha), recomendaciones del CCN.

Anexo 2 -- Lista de los subencargados ulteriores autorizados

Subencargado ulteriorPrestaciónLocalizaciónGarantías de transferencia
Microsoft Corporation API Microsoft Graph -- acceso en lectura a los datos de configuración del inquilino UE + Estados Unidos (infraestructura Microsoft) Microsoft actúa como proveedor del Cliente (no subencargado ulterior de SYAGA). Transferencias enmarcadas por las cláusulas contractuales tipo de la CE y la participación de Microsoft en el marco EU-U.S. Data Privacy Framework.
OVH SAS (alojamiento, Roubaix, Francia) Alojamiento de la plataforma SYAGA Audit Francia No aplicable (UE)
Stripe Inc. Pago -- datos de facturación del Cliente únicamente (excluidos los datos del inquilino) Estados Unidos / UE EU-U.S. Data Privacy Framework (Stripe certificado) y, con carácter subsidiario, Cláusulas Contractuales Tipo de la CE (2021) -- Data Transfers Addendum de Stripe.

Referencias legales

  • CNIL -- encargado del tratamiento, obligaciones art. 28 RGPD: cnil.fr/fr/sous-traitant
  • Reglamento (UE) 2016/679 (RGPD), artículos 4, 9, 12 a 22, 28, 32 a 36: EUR-Lex CELEX:32016R0679
  • Directiva NIS2 (UE) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
  • Reglamento DORA (UE) 2022/2554: EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- Guía de higiene informática: ssi.gouv.fr
  • Ley n° 78-17 de 6 de enero de 1978 modificada: Légifrance
SYAGA Audit
Seguridad Privacidad CGU DPA Aviso legal © 2026 SYAGA