SYAGA AuditMicrosoft 365 Edition
Acasă Funcționalități Securitate Cum funcționează Prețuri
Autentificare Lansați diagnosticul gratuit

Politica de confidențialitate

Versiunea 1.0 - Ultima actualizare: 25 iunie 2026


Preambul

Prezenta Politică de confidențialitate are ca obiect informarea utilizatorilor și clienților serviciului SYAGA Audit cu privire la modul în care datele lor cu caracter personal sunt colectate, prelucrate și protejate, în conformitate cu Regulamentul (UE) 2016/679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (RGPD) și cu legea franceză nr.° 78-17 din 6 ianuarie 1978, modificată, privind informatica, fișierele și libertățile.

SYAGA Audit este un serviciu de audit de securitate și de conformitate a mediului Microsoft 365, care operează exclusiv în citire pe configurațiile și metadatele tenant-ului Microsoft 365 al clientului. Serviciul nu accesează conținutul mesajelor, fișierelor sau e-mailurilor utilizatorilor tenant-ului auditat și nu stochează nicio parolă.

Prezentul document îndeplinește obligația de informare prevăzută la articolele 13 (colectare directă) și 14 (colectare indirectă) din RGPD.


1. Identitatea și datele de contact ale operatorului

Operatorul pentru datele de cont și de gestionare a relației cu clientul este:

SYAGA CONSULTING

  • Formă: Societate cu răspundere limitată (SARL) cu capital de 20 000 EUR
  • SIREN: 518 489 471 -- RCS Aix-en-Provence
  • Sediul social: 2 Impasse Paul Langevin, 13110 Port-de-Bouc
  • Cod de TVA intracomunitar: FR93 518489471
  • E-mail: contact@syaga.fr

Articularea persoană împuternicită / operator: pentru datele de configurare și metadatele tenant-ului Microsoft 365 colectate în timpul auditului, SYAGA acționează în calitate de persoană împuternicită în sensul articolului 28 din RGPD, clientul rămânând operator al propriilor sale date M365. Prezenta politică acoperă perimetrul pentru care SYAGA acționează în calitate de operator (date de cont, facturare, suport). Prelucrarea realizată în numele clientului este reglementată de Acordul de prelucrare a datelor (DPA).

Contact protecția datelor

Pentru orice cerere privind protecția datelor: contact@syaga.fr

Desemnarea unui responsabil cu protecția datelor nu este obligatorie în sensul articolului 37 din RGPD; operatorul, în persoana administratorului, este punctul de contact pentru orice întrebare privind datele cu caracter personal.


2. Date cu caracter personal colectate

2.1 Date de cont și de gestionare a relației cu clientul

SYAGA colectează, în calitate de operator:

  • Identitatea persoanei de contact: nume, prenume, funcție
  • Date de contact profesionale: adresă de e-mail, denumire socială
  • Date de autentificare la Serviciu (token OAuth Microsoft -- nicio parolă stocată de SYAGA Audit)
  • Date de facturare și de gestionare contractuală
  • Date de suport și schimburi
  • Jurnale tehnice de conectare (adrese IP, marcaje temporale)

2.2 Date de audit (configurare și metadate Microsoft 365)

În cadrul auditului, Serviciul accesează exclusiv în citire, prin API-ul Microsoft Graph, datele de configurare și metadatele tenant-ului M365 al clientului, în special:

  • Parametri de configurare a securității (politici de acces condiționat, setări MFA, setări de partajare)
  • Metadate privind conturile de utilizatori (UPN, roluri, statut MFA, atribute de director Entra ID)
  • Indicatori și metadate de postură de securitate (Secure Score, alerte de configurare)

Ce nu colectează Serviciul: conținutul e-mailurilor, fișierelor, documentelor, mesajelor, parolelor, datelor sensibile în sensul articolului 9 din RGPD.

Arhitectură efemeră: auditul se execută în memoria RAM, într-un container de scanare de unică folosință (fără stocare pe disc). Raportul este remis o singură dată clientului, apoi datele brute ale scanării și token-ul de acces sunt șterse definitiv. Token-ul este criptat la repaus (Fernet) pe durata auditului. TTL de securitate maxim: 2 ore. SYAGA nu păstrează pe server decât datele de facturare, conform obligațiilor legale.

2.3 Cookie-uri și trackere

Site-ul syaga.eu utilizează exclusiv cookie-uri strict necesare funcționării Serviciului:

  • __jsc: cookie de securitate anti-bot, durata sesiunii
  • vigil_audit: cookie de sesiune, durata sesiunii

Niciun cookie de măsurare a audienței (Google Analytics, Matomo sau echivalent) și niciun cookie publicitar nu este plasat. Aceste cookie-uri strict necesare sunt exceptate de la consimțământul prealabil, conform liniilor directoare ale CNIL din 4 iulie 2023 (sursă: cnil.fr -- cookie-uri și trackere). O informare privind aceste cookie-uri este suficientă.


3. Scopuri și temeiuri legale ale prelucrării

Conform articolului 6 din RGPD, fiecare prelucrare se bazează pe un temei legal identificat:

ScopTemei legal (Art. 6 RGPD)
Furnizarea și executarea Serviciului de audit; crearea și gestionarea contului de clientExecutarea contractului -- Art. 6.1.b
Facturare, contabilitate, recuperare de creanțeObligație legală (Codul comercial francez art. L.123-22) și executarea contractului -- Art. 6.1.c și 6.1.b
Suport și asistență tehnicăExecutarea contractului -- Art. 6.1.b
Securitatea Serviciului, prevenirea fraudei, jurnalizareInteres legitim -- Art. 6.1.f
Cookie-uri strict necesareExceptate de la consimțământ (linii directoare CNIL)

Pentru datele de audit ale tenant-ului (secțiunea 2.2), SYAGA acționează la instrucțiunea clientului (operator). A se vedea DPA.


4. Destinatari și persoane împuternicite

Datele sunt comunicate numai persoanelor abilitate din cadrul SYAGA CONSULTING, precum și persoanelor împuternicite care intervin în condițiile articolului 28 din RGPD:

  • Microsoft Corporation: furnizor al API-ului Microsoft Graph, utilizat exclusiv în citire pentru a accesa datele de configurare ale tenant-ului clientului. Datele auditate sunt cele ale propriului tenant Microsoft 365 al Clientului, consultate exclusiv în citire în numele său prin Microsoft Graph. Microsoft acționează ca furnizor al Clientului; SYAGA nu este persoana împuternicită ulterioară a Microsoft.
  • Stripe Inc.: prestator de plăți pentru prelucrarea datelor de facturare. Transferurile către Stripe sunt reglementate de EU-U.S. Data Privacy Framework, la care Stripe este certificat, și, cu titlu subsidiar, de Clauzele Contractuale Standard ale Comisiei Europene (2021) integrate în Data Transfers Addendum al Stripe (surse: stripe.com/legal/dpa și stripe.com/legal/dta).
  • Furnizor de găzduire: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Franța (RCS Lille Métropole 424 761 419). Serviciul este găzduit în Franța de OVH SAS (furnizor de găzduire francez), persoană împuternicită tehnică a SYAGA CONSULTING. SYAGA CONSULTING primește doar date pseudonimizate (token-uri).

Nicio dată nu este vândută sau cedată terților în scopuri comerciale.

Datele pot fi comunicate autorităților administrative sau judiciare atunci când legea o impune.


5. Durate de păstrare

Datele sunt păstrate pentru o durată care nu depășește pe cea necesară scopurilor urmărite (art. 5.1.e RGPD):

Categorie de dateDurata de păstrare
Date brute de audit (constatări, token de acces)Zero retenție pe server: șterse definitiv la livrarea Raportului (arhitectură efemeră, TTL maxim 2 ore)
Date de cont client activDurata relației contractuale, apoi ștergere în termen de 30 de zile de la reziliere
Date de facturare și documente contabile10 ani de la închiderea exercițiului financiar (obligație legală, art. L.123-22 din Codul comercial francez)
Jurnale tehnice (jurnale de conectare)12 luni (recomandare CNIL)

6. Transferuri de date în afara Uniunii Europene

Infrastructura ce găzduiește Serviciul SYAGA Audit este localizată în Franța. În principiu, niciun transfer de date nu este realizat în afara UE / SEE de către SYAGA.

Referitor la Microsoft: Operatorul recunoaște că API-ul Microsoft Graph este operat de Microsoft Corporation (Statele Unite). Eventualele transferuri care implică Microsoft sunt reglementate de clauzele contractuale standard aprobate de Comisia Europeană și, dacă este cazul, de participarea sa la cadrul EU-U.S. Data Privacy Framework. Datele auditate sunt cele ale propriului tenant Microsoft 365 al Clientului, consultate exclusiv în citire în numele său prin Microsoft Graph. Microsoft acționează ca furnizor al Clientului. Eventualele transferuri care implică infrastructura Microsoft sunt reglementate de clauzele contractuale standard aprobate de Comisia Europeană și de participarea Microsoft la cadrul EU-U.S. Data Privacy Framework.

Stripe Inc. operează transferuri în afara UE, reglementate de mecanisme conforme cu capitolul V din RGPD. Transferurile către Stripe sunt reglementate de EU-U.S. Data Privacy Framework, la care Stripe este certificat, și, cu titlu subsidiar, de Clauzele Contractuale Standard ale Comisiei Europene (2021) integrate în Data Transfers Addendum al Stripe.


7. Drepturile persoanelor vizate

Conform articolelor 15 până la 22 din RGPD, orice persoană vizată dispune de următoarele drepturi:

  • Dreptul de acces (art. 15 RGPD): obținerea confirmării că datele privind persoana sunt prelucrate și obținerea unei copii a acestora
  • Dreptul la rectificare (art. 16): corectarea datelor inexacte sau incomplete
  • Dreptul la ștergerea datelor (art. 17): obținerea ștergerii în cazurile prevăzute de RGPD
  • Dreptul la restricționarea prelucrării (art. 18)
  • Dreptul la portabilitatea datelor (art. 20): primirea datelor într-un format structurat și care poate fi citit automat
  • Dreptul la opoziție (art. 21): opoziție la prelucrare din motive legate de situația particulară a persoanei, precum și în orice moment în materie de prospectare comercială
  • Dreptul de retragere a consimțământului (art. 7.3), în orice moment, atunci când prelucrarea se bazează pe consimțământ
  • Dreptul post-mortem (art. 85 din legea franceză Informatică și Libertăți): stabilirea de directive privind soarta datelor după deces

Important pentru datele de audit: pentru datele de configurare și metadatele tenant-ului, cererile de exercitare a drepturilor trebuie adresate clientului (operator), care va solicita SYAGA dacă este necesar (art. 28.3.e RGPD).

Modalități de exercitare

Aceste drepturi se exercită printr-o cerere adresată la contact@syaga.fr sau prin corespondență la SYAGA CONSULTING, 2 Impasse Paul Langevin, 13110 Port-de-Bouc. Un răspuns este oferit în termen de o lună (art. 12.3 RGPD), care poate fi prelungit cu două luni în caz de complexitate.

Plângere la CNIL

Orice persoană vizată are dreptul de a depune o plângere la CNIL (art. 77 RGPD):

CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 -- www.cnil.fr


8. Securitatea datelor (art. 32 RGPD)

SYAGA implementează măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adaptat riscului (art. 32 RGPD):

  • Arhitectură efemeră: audit executat în memoria RAM, container de scanare de unică folosință fără stocare pe disc; date brute șterse definitiv la livrarea Raportului
  • Privilegiul minim: conectare prin OAuth Microsoft cu permisiunile cele mai restrânse propuse de Microsoft pentru fiecare perimetru auditat; Serviciul nu scrie, nu modifică și nu șterge niciodată nicio dată a tenant-ului
  • Criptare în tranzit: TLS 1.2/1.3 pe toate comunicațiile; SPF, DKIM și DMARC activate pe e-mailuri
  • Criptare la repaus: token de acces criptat (Fernet) pe durata auditului
  • Găzduire în Franța: infrastructură OVH (Franța)
  • Controlul accesului: principiul privilegiului minim; abilitări nominale
  • Protecție anti-abuz: plafon de 2 audituri/zi/tenant, măsuri anti-DDoS
  • Notificarea încălcărilor: procedură conformă cu art. 33 și 34 din RGPD (notificare CNIL în 72 de ore)

Aliniere multi-referențială

Măsurile de securitate ale SYAGA Audit sunt concepute în concordanță cu mai multe referențiale de securitate recunoscute. SYAGA nu revendică nicio certificare formală pe aceste referențiale, măsurile fiind aliniate la cerințele standardului ISO/IEC 27001, un demers de certificare fiind angajat, fără certificare obținută până în prezent; măsurile sunt aliniate la și inspirate din aceste cadre:

  • RGPD (Regulamentul UE 2016/679): bază de reglementare direct aplicabilă -- eur-lex.europa.eu CELEX:32016R0679
  • Directiva NIS2 (Directiva UE 2022/2555): măsuri de gestionare a riscurilor, securitatea rețelelor și a sistemelor informatice -- eur-lex.europa.eu CELEX:32022L2555. SYAGA, al cărei personal și cifră de afaceri se situează sub pragurile entităților importante în sensul directivei (UE) 2022/2555 (50 de angajați sau 10 mil. EUR), nu intră în sfera entităților supuse NIS2. SYAGA Audit își ajută totuși clienții să își măsoare conformitatea la acest referențial (sursă: monespacenis2.cyber.gouv.fr).
  • DORA (Regulamentul UE 2022/2554): reziliență operațională digitală pentru sectorul financiar -- eur-lex.europa.eu CELEX:32022R2554. SYAGA nefiind o entitate financiară reglementată, regulamentul (UE) 2022/2554 (DORA) nu îi este direct aplicabil; obligații contractuale pot totuși să se aplice de la caz la caz atunci când un client este o entitate financiară supusă DORA (sursă: eur-lex.europa.eu DORA).
  • ISO/IEC 27001: cadru de referință pentru sistemele de management al securității informației (SMSI) -- iso.org/standard/27001. Măsurile SYAGA Audit sunt aliniate la cerințele standardului ISO/IEC 27001, un demers de certificare fiind angajat, fără certificare obținută până în prezent.
  • Recomandările ANSSI: Ghidul de igienă informatică și recomandările Agenției naționale franceze pentru securitatea sistemelor informatice -- ssi.gouv.fr.

SYAGA Audit își ajută în mod precis clienții să își măsoare propria conformitate la aceste referențiale (RGPD, NIS2, ANSSI) în cadrul mediului lor Microsoft 365.


9. Modificări ale prezentei politici

Prezenta Politică poate fi actualizată pentru a reflecta evoluțiile legale, reglementare sau tehnice. Versiunea în vigoare este cea publicată la https://syaga.eu/confidentialite.html. În caz de modificare substanțială, utilizatorii înregistrați vor fi informați prin e-mail într-un termen rezonabil înainte de intrarea în vigoare a modificărilor.


10. Contact

Pentru orice întrebare privind prezenta politică sau protecția datelor dumneavoastră:

  • E-mail: contact@syaga.fr
  • Adresă: SYAGA CONSULTING -- 2 Impasse Paul Langevin, 13110 Port-de-Bouc

Referințe legale și documentare

  • Regulamentul (UE) 2016/679 (RGPD) -- text integral: eur-lex.europa.eu CELEX:32016R0679
  • Legea franceză nr.° 78-17 din 6 ianuarie 1978, modificată: Légifrance
  • CNIL -- drepturile persoanelor: cnil.fr
  • CNIL -- cookie-uri: cnil.fr
  • Directiva NIS2 (UE) 2022/2555: eur-lex.europa.eu CELEX:32022L2555
  • Regulamentul DORA (UE) 2022/2554: eur-lex.europa.eu CELEX:32022R2554
  • ISO/IEC 27001: iso.org/standard/27001
  • ANSSI -- Ghid de igienă informatică: ssi.gouv.fr
SYAGA Audit
Securitate Confidențialitate Termeni și condiții DPA Informații legale © 2026 SYAGA