Acord de Prelucrare a Datelor (DPA)
Încheiat în aplicarea articolului 28 din Regulamentul (UE) 2016/679 (RGPD) (sursă: gdpr-info.eu/art-28-gdpr)
Serviciu vizat: SYAGA Audit -- audit de securitate și de conformitate Microsoft 365, exclusiv în citire
Versiune: 1.0 -- Data: 27 iunie 2026 -- Data intrării în vigoare: 27 iunie 2026
Identificarea Părților
Persoana împuternicită:
SYAGA CONSULTING, societate cu răspundere limitată (SARL) cu un capital de 20 000 de euro, înmatriculată la RCS Aix-en-Provence sub SIREN 518 489 471, înființată la 08.12.2009, reprezentată de administratorul său Sébastien Questier, cu sediul social la 2 Impasse Paul Langevin, 13110 Port-de-Bouc, editoare a serviciului SYAGA Audit, denumită în continuare Persoana împuternicită.
ȘI
Operatorul: Clientul care s-a abonat la serviciul SYAGA Audit în condițiile CGV disponibile la adresa cgu.html, ale cărui date de contact sunt cele completate la abonare, denumit în continuare Operatorul.
Denumite în continuare împreună Părțile.
Preambul
Prezentul Acord de Prelucrare a Datelor (DPA) este încheiat în aplicarea articolului 28 din RGPD, care impune ca o prelucrare realizată de o persoană împuternicită în numele unui operator să fie reglementată de un contract care definește obiectul, durata, natura și scopul prelucrării, tipul de date cu caracter personal, categoriile de persoane vizate, precum și obligațiile și drepturile operatorului.
Prezentul DPA este accesoriu Condițiilor Generale de Vânzare și de Prestare a Serviciilor (CGV) SYAGA Audit (Contractul principal). În caz de contradicție între prezentul DPA și Contractul principal cu privire la o chestiune legată de protecția datelor, prezentul DPA prevalează. În caz de contradicție privind protecția datelor cu caracter personal, prezentul DPA prevalează asupra CGU.
Prin abonarea la serviciul SYAGA Audit, Clientul acceptă termenii prezentului DPA. Acceptarea electronică echivalează cu acceptarea DPA, conform dispozițiilor aplicabile încheierii contractelor pe cale electronică.
Articolul 1 -- Obiect și doctrina serviciului
Prezentul DPA definește condițiile în care Persoana împuternicită se angajează să efectueze, în numele și la instrucțiunea documentată a Operatorului, operațiunile de prelucrare a datelor cu caracter personal necesare furnizării serviciului SYAGA Audit.
SYAGA Audit realizează un audit de securitate și de conformitate a mediului Microsoft 365 al Operatorului exclusiv în citire: Serviciul nu scrie, nu modifică și nu șterge nicio dată în tenant-ul auditat.
Persoana împuternicită aplică o doctrină zero-knowledge: colectarea și pseudonimizarea se execută în browserul Clientului (extensie). Persoana împuternicită nu primește niciodată datele brute ale tenant-ului, nici token-ul de acces Microsoft al Clientului: doar amprente pseudonimizate. Rezultatele de audit tokenizate sunt păstrate în contul de client pentru a-i permite Clientului să le redeschidă, atât timp cât este activ; sunt recontextualizate în clar doar pe stația Clientului.
Articolul 2 -- Natura, scopul și durata prelucrării
2.1 Natura operațiunilor. Operațiunile constau în: colectare (citire, privilegiul minim) prin API-urile Microsoft, efectuată de o extensie de browser executată pe stația Clientului; pseudonimizare locală; analiză de către Persoana împuternicită a doar amprentelor pseudonimizate în raport cu referențialele de securitate (ANSSI, recomandările Microsoft, RGPD, NIS2); restituire sub formă de rapoarte recontextualizate pe stația Clientului.
2.2 Scop exclusiv. Scopul este evaluarea posturii de securitate și de conformitate a tenant-ului Microsoft 365 al Operatorului și producerea rapoartelor de audit asociate. Niciun alt scop (prospectare, profilare, reutilizare în scopuri proprii de către Persoana împuternicită) nu este autorizat.
2.3 Durată. Prelucrarea este efectuată pe durata executării Contractului principal. Datele brute sunt șterse definitiv imediat la livrarea Raportului.
Articolul 3 -- Categorii de date cu caracter personal prelucrate
Persoana împuternicită prelucrează următoarele categorii de date:
- Date de configurare și metadate de securitate: parametri de tenant, strategii de acces condiționat, configurare MFA, roluri și permisiuni administrative, setări de partajare, stări de activare a funcționalităților de securitate
- Metadate de identitate și director: identificatori de conturi (UPN), nume afișate, apartenență la grupuri, atribute de director relevante pentru audit
- Jurnale și metadate ale evenimentelor de securitate: jurnale de conectare, evenimente de audit, metadate necesare evaluării controalelor
Excluderi exprese. Persoana împuternicită nu prelucrează conținutul e-mailurilor, fișierelor sau documentelor. Sunt prelucrate doar metadate și date de configurare.
Categorii speciale. Prelucrarea nu are ca obiect prelucrarea categoriilor speciale de date în sensul articolului 9 din RGPD. Operatorul se angajează să nu configureze serviciul într-un mod care să conducă la o astfel de prelucrare.
Articolul 4 -- Categorii de persoane vizate
Persoanele vizate sunt titularii de conturi și identități în cadrul tenant-ului Microsoft 365 al Operatorului: angajați, conducători, administratori, prestatori și invitați care dețin un cont în directorul auditat.
Articolul 5 -- Instrucțiuni documentate ale Operatorului
Persoana împuternicită prelucrează datele doar la instrucțiunea documentată a Operatorului (art. 28.3.a RGPD), inclusiv în ceea ce privește transferurile către o țară terță, cu excepția unei obligații legale imperative (caz în care informează Operatorul înainte de prelucrare, cu excepția interdicției legale).
Prezentul DPA, anexele sale și CGV constituie instrucțiunile documentate inițiale. Persoana împuternicită informează imediat Operatorul dacă apreciază că o instrucțiune constituie o încălcare a RGPD (art. 28.3, ultimul alineat RGPD).
Articolul 6 -- Confidențialitate
Persoana împuternicită se asigură că persoanele autorizate să prelucreze datele se angajează să respecte confidențialitatea sau sunt supuse unei obligații legale adecvate de confidențialitate (art. 28.3.b RGPD) și primesc formarea necesară în materie de protecție a datelor. Acest angajament supraviețuiește încetării funcțiilor și încheierii prezentului DPA.
Articolul 7 -- Măsuri de securitate (art. 32 RGPD) și aliniere referențiale
Persoana împuternicită implementează măsuri tehnice și organizatorice adecvate pentru a garanta un nivel de securitate adaptat riscului (art. 32 RGPD). Măsurile existente cuprind în special:
- Arhitectură zero-knowledge: colectare și pseudonimizare executate în browserul Clientului (extensie); Persoana împuternicită primește doar amprente pseudonimizate; datele brute ale tenant-ului și token-ul Microsoft nu îi sunt niciodată transmise
- Privilegiul minim: conectare prin OAuth Microsoft cu permisiunile cele mai restrânse propuse de Microsoft pentru fiecare perimetru; Serviciul nu scrie, nu modifică și nu șterge niciodată nicio dată a tenant-ului auditat
- Criptare în tranzit: TLS 1.2/1.3 pe toate comunicațiile; SPF, DKIM și DMARC activate
- Token Microsoft: nu părăsește niciodată browserul Clientului; Persoana împuternicită nu îl primește și nu îl stochează niciodată
- Găzduire în Franța: infrastructură OVH (Franța) operată pentru SYAGA CONSULTING
- Gestionarea accesului: principiul privilegiului minim; abilitări nominale; revizuire periodică
- Anti-abuz: plafon de 2 audituri/zi/tenant; măsuri anti-DDoS
- Jurnalizare: trasabilitatea accesurilor la date
- Teste periodice ale eficacității măsurilor de securitate
Aliniere cu cadrele de securitate recunoscute
Măsurile de mai sus sunt concepute în concordanță cu următoarele referențiale. SYAGA nu revendică nicio certificare formală pe aceste referențiale, măsurile fiind aliniate la cerințele standardului ISO/IEC 27001, un demers de certificare fiind angajat, fără certificare obținută până în prezent; este vorba despre o aliniere funcțională:
| Referențial | Relevanță pentru SYAGA Audit | Sursă oficială |
|---|---|---|
| RGPD (UE) 2016/679 | Bază de reglementare direct aplicabilă. Art. 32: măsuri tehnice și organizatorice. Arhitectură efemeră = măsură de minimizare conformă cu art. 5.1.e. | eur-lex.europa.eu CELEX:32016R0679 |
| Directiva NIS2 (UE) 2022/2555 | Măsuri de gestionare a riscurilor de securitate cibernetică (art. 21 NIS2): continuitatea activității, gestionarea incidentelor, securitatea rețelelor, criptare. SYAGA Audit ajută clienții să își evalueze propria conformitate NIS2 în tenant-ul lor M365. SYAGA, al cărei personal și cifră de afaceri se situează sub pragurile entităților importante în sensul directivei (UE) 2022/2555 (50 de angajați sau 10 mil. EUR), nu intră în sfera entităților supuse NIS2. SYAGA Audit își ajută totuși clienții să își măsoare conformitatea la acest referențial. | eur-lex.europa.eu CELEX:32022L2555 |
| Regulamentul DORA (UE) 2022/2554 | Reziliență operațională digitală pentru entitățile financiare reglementate. SYAGA Audit poate ajuta clienții financiari să își documenteze postura DORA în tenant-ul lor M365. SYAGA nefiind o entitate financiară reglementată, DORA nu îi este direct aplicabil; obligații contractuale pot să se aplice de la caz la caz pentru clienții din sectorul financiar supuși DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | Cadru SMSI: politică de securitate, gestionarea riscurilor, controale de acces, criptare, jurnalizare. Măsurile SYAGA Audit sunt aliniate la controalele ISO 27002 corespunzătoare. Măsurile SYAGA Audit sunt aliniate la cerințele standardului ISO/IEC 27001, un demers de certificare fiind angajat, fără certificare obținută până în prezent. | iso.org/standard/27001 |
| Recomandările ANSSI | Ghid de igienă informatică, recomandări de securitate a sistemelor informatice. Măsuri inspirate din recomandările ANSSI privind gestionarea conturilor, criptarea și jurnalizarea. SYAGA Audit evaluează configurațiile M365 în raport cu recomandările ANSSI. | ssi.gouv.fr |
Detaliul complet al măsurilor tehnice și organizatorice figurează în Anexa 1.
Articolul 8 -- Recurgerea la persoane împuternicite ulterioare
Operatorul autorizează Persoana împuternicită să apeleze la persoanele împuternicite ulterioare listate în Anexa 2. Pentru orice nouă persoană împuternicită sau înlocuire, Persoana împuternicită informează Operatorul în scris cu cel puțin treizeci (30) de zile înainte de intrarea în vigoare, Operatorul dispunând de un termen de treizeci (30) de zile pentru a se opune din motive rezonabile legate de protecția datelor (art. 28.2 și 28.4 RGPD). Aceste termene și modalități sunt aplicabile, cu excepția unui acord particular între Părți.
Persoana împuternicită impune persoanelor împuternicite ulterioare, prin contract, aceleași obligații de protecție a datelor ca cele prevăzute în prezentul DPA (art. 28.4 RGPD) și rămâne pe deplin responsabilă față de Operator pentru executarea lor.
Articolul 9 -- Asistență acordată Operatorului
9.1 Drepturile persoanelor vizate (art. 12 până la 22 și 28.3.e RGPD). Persoana împuternicită transmite fără întârziere Operatorului orice cerere de exercitare a drepturilor primită direct de la o persoană vizată și îl asistă pentru a-i răspunde.
9.2 Securitate și DPIA (art. 32 până la 36 și 28.3.f RGPD). Persoana împuternicită asistă Operatorul pentru securitatea prelucrării, realizarea unei evaluări de impact (DPIA) dacă este necesar, și o consultare prealabilă a CNIL, dacă este cazul.
9.3 Încălcări de date (art. 33 și 34 RGPD). Persoana împuternicită notifică Operatorul cu privire la orice încălcare de date într-un termen maxim de patruzeci și opt (48) de ore de la luarea la cunoștință, în cel mai scurt timp posibil, astfel încât să îi permită operatorului să respecte termenul de 72 de ore prevăzut la articolul 33 din RGPD, furnizând informațiile utile pentru eventuala notificare.
Articolul 10 -- Soarta datelor la sfârșitul contractului
La încheierea prezentului DPA, Persoana împuternicită procedează, în termen de treizeci (30) de zile de la încheierea contractului, conform alegerii Operatorului notificate în scris (art. 28.3.g RGPD):
Notă: având în vedere arhitectura efemeră a serviciului, nicio dată de audit nu este păstrată la finalul prestației; doar datele de facturare sunt păstrate conform obligațiilor legale (10 ani).
- fie la restituirea către Operator a datelor cu caracter personal prelucrate, într-un format structurat (JSON sau CSV, în funcție de disponibilitate);
- fie la ștergerea securizată a ansamblului datelor, inclusiv copiile, cu excepția obligației legale de păstrare.
Conform arhitecturii efemere a serviciului, datele brute de audit sunt deja șterse definitiv la livrarea Raportului. Persoana împuternicită furnizează, la cerere, o atestare de ștergere.
Articolul 11 -- Audituri și controale
Persoana împuternicită pune la dispoziția Operatorului toate informațiile necesare pentru a demonstra respectarea obligațiilor de la articolul 28 din RGPD și permite realizarea de audituri, inclusiv inspecții (art. 28.3.h RGPD).
Auditurile sunt supuse următoarelor condiții: preaviz scris de cel puțin treizeci (30) de zile lucrătoare, realizare în timpul orelor lucrătoare, frecvență maximă de un (1) audit per perioadă de douăsprezece (12) luni, cu excepția unei circumstanțe excepționale (în special un incident de securitate dovedit), costuri în sarcina Operatorului, confidențialitatea informațiilor obținute.
Articolul 12 -- Transferuri în afara Uniunii Europene
12.1 Localizare principală. Datele sunt prelucrate și găzduite în Franța. SYAGA CONSULTING este o entitate de drept francez. O expunere indirectă la CLOUD Act prin furnizori terți nu poate fi complet exclusă; SYAGA o limitează prin găzduirea în Franța (OVH SAS) și mai ales prin pseudonimizare: serviciul primește doar token-uri, niciodată datele dumneavoastră în clar.
12.2 Recurgerea la Microsoft. Operatorul recunoaște că API-ul Microsoft Graph este operat de Microsoft Corporation (Statele Unite). Transferurile care implică Microsoft sunt reglementate de clauzele contractuale standard aprobate de Comisia Europeană și, dacă este cazul, de cadrul EU-U.S. Data Privacy Framework. Datele auditate sunt cele ale propriului tenant Microsoft 365 al Clientului, consultate exclusiv în citire în numele său prin Microsoft Graph. Microsoft acționează ca furnizor al Clientului; SYAGA nu este persoana împuternicită ulterioară a acestuia.
12.3 Garanții generale. Orice transfer în afara UE realizat de Persoana împuternicită sau de o persoană împuternicită ulterioară este condiționat de implementarea unui mecanism valid în sensul capitolului V din RGPD (decizie de adecvare, clauze contractuale standard sau altă garanție adecvată).
Articolul 13 -- Contact protecția datelor
Persoana împuternicită (SYAGA CONSULTING): punct de contact protecția datelor -- contact@syaga.fr. Desemnarea unui responsabil cu protecția datelor nu este obligatorie în sensul articolului 37 din RGPD; responsabilul cu protecția datelor este administratorul, Sébastien Questier, punct de contact pentru orice întrebare privind datele cu caracter personal.
Operator: contact RGPD desemnat de Client conform propriilor sale obligații.
Articolul 14 -- Durată, modificare și lege aplicabilă
Prezentul DPA intră în vigoare la abonarea la serviciul SYAGA Audit și rămâne în vigoare pe toată durata prelucrării realizate în numele Operatorului.
Orice modificare substanțială face obiectul unei notificări prealabile către Operator. Continuarea utilizării serviciului după termenul de notificare echivalează cu acceptarea modificărilor. Aceste modalități de modificare sunt conforme cu cerințele articolului 28 din RGPD pentru acordurile de prelucrare.
Prezentul DPA este supus legii franceze. Orice litigiu este de competența instanțelor din raza teritorială a Aix-en-Provence, sub rezerva normelor de ordine publică aplicabile litigiilor transfrontaliere.
Anexa 1 -- Descrierea detaliată a prelucrării și măsuri de securitate (art. 32 RGPD)
| Parametru | Descriere |
|---|---|
| Scopuri | Audit de securitate și de conformitate M365 -- producerea de rapoarte |
| Categorii de date | Metadate de configurare, metadate de identitate (UPN, nume), jurnale de securitate |
| Categorii speciale (art. 9) | Niciuna |
| Persoane vizate | Conturi și identități ale tenant-ului Microsoft 365 al Clientului |
| Păstrare pe server | Date brute ale tenant-ului: niciodată transmise (pseudonimizare în browser). Rezultate tokenizate: păstrate în contul de client atât timp cât Clientul este activ. |
| Locul prelucrării | Franța (infrastructură SYAGA CONSULTING) |
| Criptare în tranzit | TLS 1.2/1.3 -- toate comunicațiile; SPF/DKIM/DMARC |
| Token Microsoft | Nu părăsește niciodată browserul Clientului; niciodată primit de Persoana împuternicită |
| Arhitectură | Colectare și pseudonimizare printr-o extensie în browserul Clientului; Persoana împuternicită analizează doar amprente |
| Gestionarea accesului | Principiul privilegiului minim; abilitări nominale |
| Anti-abuz | Plafon 2 audituri/zi/tenant; anti-DDoS |
| Jurnalizare | Jurnale tehnice minime de exploatare și de securitate, fără date de audit personale, păstrate aproximativ 12 luni conform recomandărilor CNIL. |
| Aliniere referențiale de securitate | Măsuri aliniate la RGPD art. 32, ISO/IEC 27001 (un demers de certificare fiind angajat, fără certificare obținută până în prezent), recomandările ANSSI. |
Anexa 2 -- Lista persoanelor împuternicite ulterioare autorizate
| Persoană împuternicită ulterioară | Prestație | Localizare | Garanții de transfer |
|---|---|---|---|
| Microsoft Corporation | API Microsoft Graph -- acces în citire la datele de configurare ale tenant-ului | UE + Statele Unite (infrastructură Microsoft) | Microsoft acționează ca furnizor al Clientului (nu persoană împuternicită ulterioară a SYAGA). Transferuri reglementate de clauzele contractuale standard CE și de participarea Microsoft la cadrul EU-U.S. Data Privacy Framework. |
| OVH SAS (găzduire, Roubaix, Franța) | Găzduire platformă SYAGA Audit | Franța | Nu se aplică (UE) |
| Stripe Inc. | Plată -- doar date de facturare ale Clientului (fără datele tenant-ului) | Statele Unite / UE | EU-U.S. Data Privacy Framework (Stripe certificat) și, cu titlu subsidiar, Clauzele Contractuale Standard CE (2021) -- Data Transfers Addendum al Stripe. |
Referințe legale
- CNIL -- persoană împuternicită, obligații art. 28 RGPD: cnil.fr/fr/sous-traitant
- Regulamentul (UE) 2016/679 (RGPD), articolele 4, 9, 12 până la 22, 28, 32 până la 36: EUR-Lex CELEX:32016R0679
- Directiva NIS2 (UE) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
- Regulamentul DORA (UE) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Ghid de igienă informatică: ssi.gouv.fr
- Legea franceză nr.° 78-17 din 6 ianuarie 1978, modificată: Légifrance