SYAGA AuditMicrosoft 365 Edition
Accueil Fonctionnalités Sécurité Comment ça marche Tarifs
Se connecter Lancer mon diagnostic gratuit

Accord de Traitement des Données (DPA)

Conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD) (source : gdpr-info.eu/art-28-gdpr)

Service concerné : SYAGA Audit -- audit de sécurité et de conformité Microsoft 365, lecture seule

Version : 1.0 -- Date : 27 juin 2026 -- Date d'entrée en vigueur : 27 juin 2026


Identification des Parties

Le Sous-traitant :

SYAGA CONSULTING, société à responsabilité limitée (SARL) au capital de 20 000 euros, immatriculée au RCS d'Aix-en-Provence sous le SIREN 518 489 471, créée le 08/12/2009, représentée par son gérant Sébastien Questier, dont le siège social est situé à 2 Impasse Paul Langevin, 13110 Port-de-Bouc, éditrice du service SYAGA Audit, ci-après dénommée le Sous-traitant.

ET

Le Responsable de traitement : le Client ayant souscrit au service SYAGA Audit dans les conditions des CGV disponibles à l'adresse cgu.html, dont les coordonnées sont celles renseignées lors de la souscription, ci-après dénommé le Responsable de traitement.

Ci-après désignées ensemble les Parties.


Préambule

Le présent Accord de Traitement des Données (DPA) est conclu en application de l'article 28 du RGPD, qui impose qu'un traitement réalisé par un sous-traitant pour le compte d'un responsable de traitement soit régi par un contrat définissant l'objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées, ainsi que les obligations et droits du responsable de traitement.

Le présent DPA est accessoire aux Conditions Générales de Vente et de Service (CGV) SYAGA Audit (le Contrat principal). En cas de contradiction entre le présent DPA et le Contrat principal sur une question relative à la protection des données, le présent DPA prévaut. En cas de contradiction relative à la protection des données personnelles, le présent DPA prévaut sur les CGU.

En souscrivant au service SYAGA Audit, le Client accepte les termes du présent DPA. L'acceptation électronique vaut acceptation du DPA conformément aux dispositions applicables à la conclusion de contrats par voie électronique.


Article 1 -- Objet et doctrine du service

Le présent DPA définit les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte et sur instruction documentée du Responsable de traitement, les opérations de traitement de données à caractère personnel nécessaires à la fourniture du service SYAGA Audit.

SYAGA Audit réalise un audit de sécurité et de conformité de l'environnement Microsoft 365 du Responsable de traitement en lecture seule : le Service n'écrit, ne modifie ni ne supprime aucune donnée dans le tenant audité.

Le Sous-traitant applique une doctrine zero-knowledge : la collecte et la pseudonymisation s'exécutent dans le navigateur du Client (extension). Le Sous-traitant ne reçoit jamais les données brutes du tenant ni le token d'accès Microsoft du Client : uniquement des empreintes pseudonymisées. Les résultats d'audit jetonisés sont conservés dans l'espace client pour permettre au Client de les rouvrir, tant qu'il est actif ; ils ne sont recontextualisés en clair que sur le poste du Client.


Article 2 -- Nature, finalité et durée du traitement

2.1 Nature des opérations. Les opérations consistent en : collecte (lecture, moindre privilège) via les API Microsoft, effectuée par une extension navigateur exécutée sur le poste du Client ; pseudonymisation locale ; analyse par le Sous-traitant des seules empreintes pseudonymisées au regard de référentiels de sécurité (ANSSI, recommandations Microsoft, RGPD, NIS2) ; restitution sous forme de rapports recontextualisés sur le poste du Client.

2.2 Finalité exclusive. La finalité est l'évaluation de la posture de sécurité et de conformité du tenant Microsoft 365 du Responsable de traitement et la production des rapports d'audit associés. Aucune autre finalité (prospection, profilage, réutilisation à des fins propres du Sous-traitant) n'est autorisée.

2.3 Durée. Le traitement est effectué pendant la durée d'exécution du Contrat principal. Les données brutes sont purgées immédiatement à la livraison du Rapport.


Article 3 -- Catégories de données à caractère personnel traitées

Le Sous-traitant traite les catégories de données suivantes :

  • Données de configuration et métadonnées de sécurité : paramètres de tenant, stratégies d'accès conditionnel, configuration MFA, rôles et permissions administratifs, paramètres de partage, états d'activation des fonctionnalités de sécurité
  • Métadonnées d'identité et d'annuaire : identifiants de comptes (UPN), noms d'affichage, appartenance à des groupes, attributs d'annuaire pertinents pour l'audit
  • Journaux et métadonnées d'événements de sécurité : journaux de connexion, événements d'audit, métadonnées nécessaires à l'évaluation des contrôles

Exclusions expresses. Le Sous-traitant ne traite pas le contenu des e-mails, des fichiers ou des documents. Seules sont traitées des métadonnées et des données de configuration.

Catégories particulières. Le traitement n'a pas pour objet le traitement de catégories particulières de données au sens de l'article 9 du RGPD. Le Responsable de traitement s'engage à ne pas configurer le service d'une manière conduisant à un tel traitement.


Article 4 -- Catégories de personnes concernées

Les personnes concernées sont les titulaires de comptes et identités au sein du tenant Microsoft 365 du Responsable de traitement : salariés, dirigeants, administrateurs, prestataires et invités disposant d'un compte dans l'annuaire audité.


Article 5 -- Instructions documentées du Responsable de traitement

Le Sous-traitant traite les données uniquement sur instruction documentée du Responsable de traitement (art. 28.3.a RGPD), y compris en ce qui concerne les transferts vers un pays tiers, sauf obligation légale impérative (auquel cas il en informe le Responsable de traitement avant le traitement, sauf interdiction légale).

Le présent DPA, ses annexes et les CGV constituent les instructions documentées initiales. Le Sous-traitant informe immédiatement le Responsable de traitement s'il estime qu'une instruction constitue une violation du RGPD (art. 28.3, dernier alinéa RGPD).


Article 6 -- Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité (art. 28.3.b RGPD), et reçoivent la formation nécessaire en matière de protection des données. Cet engagement survit à la cessation des fonctions et à la fin du présent DPA.


Article 7 -- Mesures de sécurité (art. 32 RGPD) et alignement référentiels

Le Sous-traitant met en oeuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (art. 32 RGPD). Les mesures en place comprennent notamment :

  • Architecture zero-knowledge : collecte et pseudonymisation exécutées dans le navigateur du Client (extension) ; le Sous-traitant ne reçoit que des empreintes pseudonymisées ; les données brutes du tenant et le token Microsoft ne lui sont jamais transmis
  • Moindre privilège : connexion via OAuth Microsoft avec les permissions les plus étroites proposées par Microsoft pour chaque périmètre ; le Service n'écrit, ne modifie ni ne supprime jamais aucune donnée du tenant audité
  • Chiffrement en transit : TLS 1.2/1.3 sur toutes les communications ; SPF, DKIM et DMARC activés
  • Token Microsoft : ne quitte jamais le navigateur du Client ; le Sous-traitant ne le reçoit ni ne le stocke jamais
  • Hébergement en France : infrastructure OVH (France) opérée pour SYAGA CONSULTING
  • Gestion des accès : principe du moindre privilège ; habilitations nominatives ; revue régulière
  • Anti-abus : plafond de 2 audits/jour/tenant ; mesures anti-DDoS
  • Journalisation : traçabilité des accès aux données
  • Tests réguliers de l'efficacité des mesures de sécurité

Alignement avec les cadres de sécurité reconnus

Les mesures ci-dessus sont conçues en cohérence avec les référentiels suivants. SYAGA ne revendique aucune certification formelle sur ces référentiels les mesures sont alignées sur les exigences de la norme ISO/IEC 27001, une démarche de certification étant engagée, sans certification obtenue à ce jour ; il s'agit d'un alignement fonctionnel :

RéférentielPertinence pour SYAGA AuditSource officielle
RGPD (UE) 2016/679 Base réglementaire directement applicable. Art. 32 : mesures techniques et organisationnelles. Architecture éphémère = mesure de minimisation conforme à l'art. 5.1.e. eur-lex.europa.eu CELEX:32016R0679
Directive NIS2 (UE) 2022/2555 Mesures de gestion des risques de cybersécurité (art. 21 NIS2) : continuité d'activité, gestion des incidents, sécurité des réseaux, chiffrement. SYAGA Audit aide les clients à évaluer leur propre conformité NIS2 dans leur tenant M365. SYAGA, dont l'effectif et le chiffre d'affaires sont en deçà des seuils des entités importantes au sens de la directive (UE) 2022/2555 (50 salariés ou 10 M EUR), n'entre pas dans le champ des entités assujetties à NIS2. SYAGA Audit aide néanmoins ses clients à mesurer leur conformité à ce référentiel. eur-lex.europa.eu CELEX:32022L2555
Règlement DORA (UE) 2022/2554 Résilience opérationnelle numérique pour les entités financières régulées. SYAGA Audit peut aider les clients financiers à documenter leur posture DORA dans leur tenant M365. SYAGA n'étant pas une entité financière régulée, DORA ne lui est pas directement applicable ; des obligations contractuelles peuvent s'appliquer au cas par cas pour les clients du secteur financier soumis à DORA. eur-lex.europa.eu CELEX:32022R2554
ISO/IEC 27001 Cadre SMSI : politique de sécurité, gestion des risques, contrôles d'accès, chiffrement, journalisation. Les mesures SYAGA Audit sont alignées sur les contrôles ISO 27002 correspondants. Les mesures SYAGA Audit sont alignées sur les exigences de la norme ISO/IEC 27001, une démarche de certification étant engagée, sans certification obtenue à ce jour. iso.org/standard/27001
Recommandations ANSSI Guide d'hygiène informatique, recommandations sécurité des systèmes d'information. Mesures inspirées des recommandations ANSSI sur la gestion des comptes, le chiffrement et la journalisation. SYAGA Audit évalue les configurations M365 au regard des recommandations ANSSI. ssi.gouv.fr

Le détail complet des mesures techniques et organisationnelles figure à l'Annexe 1.


Article 8 -- Recours à des sous-traitants ultérieurs

Le Responsable de traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs listés à l'Annexe 2. Pour tout nouveau sous-traitant ou remplacement, le Sous-traitant informe le Responsable de traitement par écrit au moins trente (30) jours avant la prise d'effet, le Responsable de traitement disposant d'un délai de trente (30) jours pour s'y opposer pour des motifs raisonnables liés à la protection des données (art. 28.2 et 28.4 RGPD). Ces délais et modalités sont applicables sauf accord particulier entre les Parties.

Le Sous-traitant impose aux sous-traitants ultérieurs, par contrat, les mêmes obligations de protection des données que celles prévues au présent DPA (art. 28.4 RGPD) et demeure pleinement responsable à l'égard du Responsable de traitement de leur exécution.


Article 9 -- Assistance au Responsable de traitement

9.1 Droits des personnes concernées (art. 12 à 22 et 28.3.e RGPD). Le Sous-traitant transmet sans délai au Responsable de traitement toute demande d'exercice de droits reçue directement d'une personne concernée et l'assiste pour y répondre.

9.2 Sécurité et AIPD (art. 32 à 36 et 28.3.f RGPD). Le Sous-traitant assiste le Responsable de traitement pour la sécurité du traitement, la réalisation d'une analyse d'impact (AIPD) si nécessaire, et une consultation préalable de la CNIL le cas échéant.

9.3 Violations de données (art. 33 et 34 RGPD). Le Sous-traitant notifie au Responsable de traitement toute violation de données dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance dans les meilleurs délais, de manière à permettre au responsable de traitement de respecter le délai de 72 heures prévu à l'article 33 du RGPD, en fournissant les informations utiles à la notification éventuelle.


Article 10 -- Sort des données en fin de contrat

Au terme du présent DPA, le Sous-traitant procède, dans un délai de trente (30) jours suivant la fin du contrat, selon le choix du Responsable de traitement notifié par écrit (art. 28.3.g RGPD) :

Note : compte tenu de l'architecture éphémère du service, aucune donnée d'audit n'est conservée à l'issue de la prestation ; seules les données de facturation sont conservées selon les obligations légales (10 ans).

  • soit à la restitution au Responsable de traitement des données à caractère personnel traitées, dans un format structuré (JSON ou CSV selon disponibilité) ;
  • soit à la suppression sécurisée de l'ensemble des données, y compris les copies, sauf obligation légale de conservation.

Conformément à l'architecture éphémère du service, les données brutes d'audit sont déjà purgées à la livraison du Rapport. Le Sous-traitant fournit, sur demande, une attestation de suppression.


Article 11 -- Audits et contrôles

Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 RGPD et permet la réalisation d'audits, y compris des inspections (art. 28.3.h RGPD).

Les audits sont soumis aux conditions suivantes : préavis écrit d'au moins trente (30) jours ouvrés, réalisation pendant les heures ouvrables, fréquence maximale d'un (1) audit par période de douze (12) mois sauf circonstance exceptionnelle (notamment incident de sécurité avéré), frais à la charge du Responsable de traitement, confidentialité des informations obtenues.


Article 12 -- Transferts hors Union européenne

12.1 Localisation principale. Les données sont traitées et hébergées en France. SYAGA CONSULTING est une entité de droit français. Une exposition indirecte au CLOUD Act via des fournisseurs tiers ne peut être totalement exclue ; SYAGA la limite par l'hébergement en France (OVH SAS) et surtout par la pseudonymisation : le service ne reçoit que des jetons, jamais vos données en clair.

12.2 Recours à Microsoft. Le Responsable de traitement reconnaît que l'API Microsoft Graph est opérée par Microsoft Corporation (Etats-Unis). Les transferts impliquant Microsoft sont encadrés par les clauses contractuelles types approuvées par la Commission européenne et, le cas échéant, le cadre EU-U.S. Data Privacy Framework. Les données auditées sont celles du propre tenant Microsoft 365 du Client, consultées en lecture seule pour son compte via Microsoft Graph. Microsoft agit comme fournisseur du Client ; SYAGA n'en est pas le sous-traitant ultérieur.

12.3 Garanties générales. Tout transfert hors UE réalisé par le Sous-traitant ou un sous-traitant ultérieur est subordonné à la mise en oeuvre d'un mécanisme valide au sens du chapitre V du RGPD (décision d'adéquation, clauses contractuelles types ou autre garantie appropriée).


Article 13 -- Contact protection des données

Sous-traitant (SYAGA CONSULTING) : point de contact protection des données -- contact@syaga.fr. La désignation d'un délégué à la protection des données n'est pas obligatoire au sens de l'article 37 du RGPD ; le responsable de la protection des données est le gérant, Sébastien Questier, point de contact pour toute question relative aux données personnelles.

Responsable de traitement : contact RGPD désigné par le Client selon ses propres obligations.


Article 14 -- Durée, modification et droit applicable

Le présent DPA prend effet lors de la souscription au service SYAGA Audit et demeure en vigueur pendant toute la durée du traitement réalisé pour le compte du Responsable de traitement.

Toute modification substantielle fait l'objet d'une notification préalable au Responsable de traitement. La poursuite de l'utilisation du service après le délai de notification vaut acceptation des modifications. Ces modalités de modification sont conformes aux exigences de l'article 28 du RGPD pour les accords de sous-traitance.

Le présent DPA est soumis au droit français. Tout litige relève de la compétence des tribunaux du ressort d'Aix-en-Provence. sous réserve des règles d'ordre public applicables aux litiges transfrontaliers.


Annexe 1 -- Description détaillée du traitement et mesures de sécurité (art. 32 RGPD)

ParamètreDescription
FinalitésAudit de sécurité et de conformité M365 -- production de rapports
Catégories de donnéesMétadonnées de configuration, métadonnées d'identité (UPN, noms), journaux de sécurité
Catégories particulières (art. 9)Aucune
Personnes concernéesComptes et identités du tenant Microsoft 365 du Client
Conservation côté serveurDonnées brutes du tenant : jamais transmises (pseudonymisation dans le navigateur). Résultats jetonisés : conservés dans l'espace client tant que le Client est actif.
Lieu de traitementFrance (infrastructure SYAGA CONSULTING)
Chiffrement en transitTLS 1.2/1.3 -- toutes communications ; SPF/DKIM/DMARC
Token MicrosoftNe quitte jamais le navigateur du Client ; jamais reçu par le Sous-traitant
ArchitectureCollecte et pseudonymisation par une extension dans le navigateur du Client ; le Sous-traitant n'analyse que des empreintes
Gestion des accèsPrincipe du moindre privilège ; habilitations nominatives
Anti-abusPlafond 2 audits/jour/tenant ; anti-DDoS
JournalisationJournaux techniques minimaux d'exploitation et de sécurité, sans données d'audit personnelles, conservés environ 12 mois conformément aux recommandations de la CNIL.
Alignement référentiels sécuritéMesures alignées sur RGPD art. 32, ISO/IEC 27001 (une démarche de certification étant engagée, sans certification obtenue à ce jour), recommandations ANSSI.

Annexe 2 -- Liste des sous-traitants ultérieurs autorisés

Sous-traitant ultérieurPrestationLocalisationGaranties de transfert
Microsoft Corporation API Microsoft Graph -- accès en lecture aux données de configuration du tenant UE + Etats-Unis (infrastructure Microsoft) Microsoft agit comme fournisseur du Client (pas sous-traitant ultérieur de SYAGA). Transferts encadrés par les clauses contractuelles types CE et la participation de Microsoft au cadre EU-U.S. Data Privacy Framework.
OVH SAS (hébergement, Roubaix, France) Hébergement plateforme SYAGA Audit France Sans objet (UE)
Stripe Inc. Paiement -- données de facturation Client uniquement (hors données du tenant) Etats-Unis / UE EU-U.S. Data Privacy Framework (Stripe certifié) et, à titre subsidiaire, Clauses Contractuelles Types CE (2021) -- Data Transfers Addendum de Stripe.

Références légales

  • CNIL -- sous-traitant, obligations art. 28 RGPD : cnil.fr/fr/sous-traitant
  • Règlement (UE) 2016/679 (RGPD), articles 4, 9, 12 à 22, 28, 32 à 36 : EUR-Lex CELEX:32016R0679
  • Directive NIS2 (UE) 2022/2555, art. 21 : EUR-Lex CELEX:32022L2555
  • Règlement DORA (UE) 2022/2554 : EUR-Lex CELEX:32022R2554
  • ISO/IEC 27001 : iso.org/standard/27001
  • ANSSI -- Guide d'hygiène informatique : ssi.gouv.fr
  • Loi n° 78-17 du 6 janvier 1978 modifiée : Légifrance
SYAGA Audit
Sécurité Confidentialité CGU DPA Mentions légales © 2026 SYAGA