POLITIQUE DE CONFIDENTIALITE CALM

1. Politique, portée et objectifs

1.1 Déclaration

La La direction de Calm, située Robert Owenstraat 21, 3045 PT te Rotterdam, aux Pays-Bas, et la direction de l’association Vipassana, située au Centre Vipassana Dhamma Mahi au Bois Planté, 89350 Louesme, en France, s'engagent à respecter toutes les lois européennes relatives aux données personnelles, et à protéger les “droits et libertés” des individus dont le Comité (conseil d’administration) collecte les informations en accord avec le Règlement Général sur la Protection des Données (RGPD). Pour ce faire, Calm a développé, mis en œuvre, maintient et améliore continuellement un système de gestion documenté des informations personnelles ("SGIP") pour Calm.

1.2 Portée

La portée du SGIP prend en compte la structure organisationnelle, les responsabilités de gestion, la juridiction et la géographie. Le SGIP est susceptible d'inclure la totalité ou une partie seulement des pays utilisant Calm.

1.3 Objectifs du SGIP

Les objectifs de Calm pour le SGIP sont de permettre à Calm de répondre à ses propres besoins pour la gestion des information personnelles ; de soutenir les objectifs et obligations organisationnelles ; d'imposer des contrôles conformes au niveau de risque acceptable pour Calm ; de garantir que Calm respecte ses obligations statutaires, légales, contractuelles et/ou professionnelles ; et de protéger les intérêts des individus et autres parties prenantes clés.

1.4 Engagement

Le comité (conseil d’administration) s'engage à se conformer à la législation concernant la protection des données et aux bonnes pratiques telles que :


  1. traiter les informations personnelles seulement lorsque cela est strictement nécessaire pour des objectifs organisationnels légitimes ;
  2. ne collecter que le minimum d'informations personnelles nécessaires à ces objectifs et ne pas traiter d'information superflue ;
  3. informer clairement les individus sur la manière dont leurs informations personnelles seront utilisées et par qui ;
  4. traiter uniquement les informations personnelles adéquates et pertinentes ;
  5. traiter les informations personnelles dans le respect de l’équité et de la loi ;
  6. constituer un inventaire des catégories d'informations personnelles traitées par le comité ;
  7. conserver les informations personnelles exactes et, si nécessaire, à jour ;
  8. ne conserver les informations personnelles qu'aussi longtemps que nécessaire à des fins légales ou réglementaires, ou pour des motifs organisationnels légitimes ;
  9. respecter les droits des individus quant à leurs informations personnelles, y compris leur droit d'accès aux données ;
  10. préserver la sécurité des informations personnelles conservées; les données ne pourront être consultées qu’un minimum de fois par un minimum de personnes, uniquement lorsque cela est absolument nécessaire ;
  11. n'opérer le transfert d'informations personnelles hors de l'Union Européenne que dans des circonstances où elles peuvent être correctement protégées ;
  12. l'application des différentes exemptions prévues par la législation sur la protection des données ;

développer et établir un SGIP pour permettre la mise en œuvre de la politique ;

  1. lorsque approprié, identifier les parties prenantes internes et externes et le degré auquel ces parties prenantes sont impliquées dans la conduite du SGIP de Calm ; et
  2. l'identification d'employés ayant une responsabilité et un devoir spécifique envers le SGIP.

1.5 Objectif de la collecte et du stockage des données

L’association et ses bénévoles (servants, cf. définitions ci-dessous) collecte et évalue les informations dans les buts suivants :pour permettre à l'assistant-enseignant ou au servant qui agit en son nom d’évaluer si un étudiant est apte à être accepté à un cours ; pour permettre au management du centre de prévoir le logement, la nourriture et parfois le transport de l'étudiant ; pour permettre de conseiller et assister l'étudiant de façon appropriée, avant, pendant et après un cours de méditation Vipassana ; pour des raisons légales ou pour la réalisation du contrat, ce qui signifie traiter l'information nécessaire afin de fournir à l'étudiant ou au servant le service qu'il ou elle a demandé ; pour fournir des services supplémentaires liés au cours, après qu'un consentement ait été obtenu pour ces services ou qu'un intérêt légitime de l'organisation ait été démontré ; pour fournir les services de la lettre d'information (newsletter) ou pour garder des enregistrements comptables (y compris les dons). Dans la mesure où l'utilisation des données personnelles est couverte par l'usage du programme Calm, la Politique de protection des données personnelles de Calm et les instructions y afférent prévalent.


Notification


1.6 Calm a notifié à l'Autorité de Protection des Données “De Autoriteit Persoonsgegevens”, à La Hague, aux Pays-Bas, qu'il est un responsable de traitements de données et qu'il traite certaines informations à propos des personnes concernées. Calm a identifié toutes les données personnelles qu'il traite et qui sont contenues dans le Registre d'Inventaire des Données.


1.7 Une copie de la notification DPA est conservée par le Délégué à la Protection des Données et le Manuel de notification DPA est utilisé comme guide de référence pour les notifications.


1.8 La notification DPA est renouvelée annuellement.


1.9 Le Délégué à la Protection des Données (DPD) est responsable, chaque année, de mettre à jour les détails des notifications, en prenant en compte tous changements dans les activités des comités (tels que déterminés par les changements au Registre d'Inventaire des Données et le bilan administratif) ainsi que toutes demandes additionnelles identifiées au moyen des analyses d’impact de la protection des données.

La politique s'applique à tous les servants et étudiants au sein de l’association et à toutes les tierces parties et fournisseurs. Toute violation du RGPD ou du SGIP sera traitée conformément à la politique disciplinaire de Calm et pourra également faire l'objet de poursuites judiciaires, auquel cas le cas fera l’objet d’une déclaration dès que possible aux autorités compétentes.

Les partenaires et les tierces parties travaillant avec ou pour l’association, et qui ont ou pourraient avoir accès à des informations personnelles, devront avoir lu, compris et se conformer à cette politique. Aucune tierce partie ne peut avoir accès à des données personnelles détenues par l’association sans avoir au préalable signé un accord sur la confidentialité des données, qui impose à la tierce partie les mêmes obligations que celles auxquelles l’association est engagée, et qui donne le droit à l’association de vérifier le respect de l'accord.

2. Définitions utilisées par l'organisation (issues du RGDP)

Données personnelles – Toute information relative à une personne physique identifiée ou identifiable ('personne concernée'); une personne physique identifiable est quelqu'un qui peut être identifié, directement ou indirectement, en particulier par une référence à un identifiant tel que nom, numéro d'identification, données de localisation, un identifiant en ligne ou par un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Catégories spéciales de données personnelles – Des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance à un syndicat, et le traitement de données génétiques ou biométriques dans l'unique but d'identifier une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Le responsable de traitement des données – Personne physique ou morale, autorité publique, agence ou autre entité qui, seule ou conjointement avec d'autres, détermine les objectifs et les moyens du traitement des données personnelles; dans les territoires où les objectifs et moyens d'un tel traitement sont déterminés par les lois de l'Union ou de L’État membre, le responsable des traitements ou le critère spécifique pour sa nomination peut être fourni par la loi de l'Union ou d'un État membre.

Personne concernée – Tout individu vivant auquel se réfèrent des données personnelles détenues par une organisation.

Traitement – Toute opération ou ensemble d'opérations effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit ou non à l'aide de moyens automatisés, telle que le recueil, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la dissémination ou autre moyen de rendre disponible, l’alignement ou la combinaison, la restriction, la suppression ou la destruction./span>

Profilage – Signifie n'importe quelle forme de traitement automatique de données personnelles effectué afin d'évaluer certains aspects personnels relatifs à une personne physique, ou d'analyser ou de prédire les performances de cette personne au travail, sa situation économique, son adresse, sa santé, ses préférences personnelles, sa fiabilité ou son comportement. Cette définition est liée au droit de la personne concernée de s'opposer au profilage et au droit à être informée de l'existence de ce profilage, de mesures fondées sur ce profilage et des effets envisagés du profilage sur l'individu.

Violation des données personnelles – Une violation des mesures de sécurité menant de façon accidentelle ou illégale, à la destruction, la perte, l’altération, la divulgation non autorisée, ou à un accès à des données personnelles transmises, conservées ou autrement traitées. Il y a obligation pour le responsable des traitements de déclarer les violations aux données personnelles à l’autorité de surveillance et si cette violation est susceptible d'affecter négativement les données personnelles ou la vie privée de la personne concernée.

Consentement de la personne concernée – Signifie n'importe quelle indication librement consentie, spécifique, informée et non ambiguë des souhaits de la personne concernée par lesquels il ou elle, par une déclaration ou par une action affirmative claire, signifie l'agrément au traitement des données personnelles.

Enfant – Le RGPD définit un enfant comme tout individu âgé de moins de seize ans. Le traitement des données personnelles d'un enfant de moins de treize ans est légal uniquement si un accord parental ou du tuteur a été obtenu.

Tierce partie – Personne physique ou morale, autorité publique, agence ou entité autre que la personne concernée, responsable des traitements, sous-traitant et personnes qui, sous l'autorité directe du responsable des traitements ou du sous-traitant, sont autorisées à traiter les données personnelles.

Système de classement – Tout ensemble structuré de données personnelles qui sont accessibles selon un critère spécifique, qu'il soit centralisé, décentralisé ou dispersé sur une base fonctionnelle ou géographique.


Définitions additionnelles spécifiques


Étudiant – Quiconque s'inscrit ou participe à un cours de Méditation Vipassana conduit par un assistant enseignant de S.N. Goenka.

Assistant enseignant – Quiconque a été nommé par S.N. Goenka ou ses représentants pour conduire des cours de Méditation Vipassana, y compris les Enseignants.

Ancien étudiant – Quiconque a participé à un cours complet de Méditation Vipassana conduit par S.N. Goenka ou l'un de ses Assistants enseignants.

Servant – Un Ancien étudiant qui aide sur un cours ou dans un centre.

3. Résponsabilités

3.1 Calm détermine les objectifs et les moyens relatifs à l'utilisation du logiciel.

3.2 La direction et tous ceux ayant des rôles de supervision ou de gestion au sein de Calm ont la responsabilité d'encourager et de développer des bonnes pratiques de gestion de l'information au sein de l'organisation ; les responsabilités sont définies dans les descriptifs des fonctions individuelles.

3.3 Le Délégué à la Protection des Données et les membres du conseil de la Fondation Calm répondent devant le Conseil de Supervision de Calm de la gestion des informations au sein de Calm et ont la responsabilité de s'assurer que le respect de la législation sur la protection des données et des bonnes pratiques puisse être démontré. Cette responsabilité inclut la gestion des risques et la sécurité conformément à cette politique.

3.4 Le DPD et le Conseil de la Fondation Calm sont considérés comme ayant les qualifications et l'expérience nécessaires et ont été nommés pour prendre en charge la responsabilité de la conformité de Calm avec cette politique sur une base quotidienne et, plus particulièrement, la responsabilité directe de garantir que Calm respecte le RGPD, comme le font les membres du Conseil de Supervision pour ce qui est du traitement des données qui a lieu dans leur domaine de responsabilité.

3.5 La conformité avec la législation sur la protection des données relève de la responsabilité de tous les servants qui traitent des informations personnelles.

3.6 La Politique de Formation de Calm détermine une formation spécifique et des exigences en matière d'attention en ce qui concerne des rôles spécifiques et les servants travaillant avec Calm.

3.7 Les servants de Calm sont responsables de garantir que toute information personnelle fournie par eux et qui les concerne, à Calm, est exacte et à jour.

4. Analyse des risques

Objectif : Afin de s'assurer que Calm est conscient de tout risque associé au traitement de types particuliers d'informations personnelles, Calm a une méthode pour évaluer le niveau de risque pour les individus associés au traitement de leurs informations personnelles. Des évaluations seront également effectuées pour les traitements pris en charge par d'autres organisations au nom de Calm. Calm s’engage à gérer tout risque identifié par l’évaluation des risques afin de réduire l'éventualité d'une non-conformité à cette politique.

Là où un type de traitement, en particulier utilisant de nouvelles technologies et prenant en compte la nature, l'envergure, le contexte et les objectifs du traitement, est susceptible d'entraîner un risque élevé pour les “droits et libertés” de personnes physique, Calm s’engage, avant le traitement, à effectuer une analyse de l'impact des opérations de traitement envisagées sur la protection des données personnelles.

Une seule analyse peut couvrir un ensemble d'opérations similaires de traitement qui présentent le même type de risques élevés.

Là où, résultant d'une Analyse d’impact de la Protection des Données, il est établi que Calm est sur le point de commencer un traitement d'informations personnelles qui pourrait causer des préjudices et/ou du désarroi pour les personnes concernées, la décision de savoir si Calm peut continuer ou non doit être soumise au Délégué à la Protection des Données. Le Délégué à la Protection des Données devra, s'il y a des préoccupations majeures, soit en termes de préjudices ou de détresse potentiels, ou à propos de la quantité de données concernée, faire remonter l'affaire au Conseil de la Fondation Calm ou à la Commission de Supervision de la Fondation Calm.

Des contrôles appropriés seront sélectionnés et appliqués pour réduire le niveau de risques associé au traitement de données individuelles à un niveau acceptable, en se référant au document de Calm sur le critère d'acceptation des risques et aux exigences du RGPD.

5. Principes de protection des données

Tout traitement de données personnelles doit être fait en accord avec les principes de protection des données du Règlement ci-dessous, et les politiques et procédures de Calm sont conçues pour être en conformité avec ceux-ci.

5.1 Les données personnelles doivent être traitées de manière légale, équitable et transparente.

Le RGPD introduit l’exigence de transparence par laquelle Vipassana a des politiques de traitement des données personnelles et d'exercice des "droits et libertés individuelles", transparentes et facilement accessibles. Ces informations doivent être communiquées à l'étudiant de façon intelligible dans un langage clair et simple.


Les informations spécifiques qui doivent être fournies à l'étudiant doivent à minima inclure :

5.1.1 l'identité et les coordonnées de la Fondation Calm s'il y a lieu, ou Vipassana et, s'il existe, celles du représentant ;

5.1.2 les objectifs du traitement auquel les données personnelles sont destinées ainsi que le fondement légal de ce traitement ;

5.1.3 la période pendant laquelle les données personnelles seront conservées ;

5.1.4 l'existence de droits pour tout étudiant ;

5.1.5 les catégories de données personnelles concernées ;

5.1.6 les destinataires ou catégories de destinataires des données personnelles ;

5.1.7 s’il y a lieu, que l’association Vipassana a l'intention de transférer les données personnelles à un destinataire dans un autre pays et le niveau de protection offert à ces données ;

5.1.8 toute information supplémentaire nécessaire pour garantir un traitement équitable.

5.2 Les données qui sont conservées pendant longtemps doivent être contrôlées et mises à jour si nécessaire. Aucune donnée ne doit être conservée si l’on ne peut raisonnablement assumer qu'elle est exacte.

5.2.2 L’association Vipassana et Calm ont la responsabilité de s'assurer que tous les servants sont formés sur l'importance de recueillir des données exactes et de les maintenir à jour.

5.2.3 Il est également de la responsabilité des individus de s'assurer que les données détenues par Calm et l’association Vipassana sont exactes et à jour. Un remplissage correct d'une pré-inscription ou d'un formulaire d'inscription etc. sera considéré comme une indication que les informations qui y sont contenues sont exactes à la date de soumission./span>

5.2.4 Les servants et les étudiants doivent notifier à Calm et à l’association Vipassana tout changement de situation afin de permettre la mise à jour des dossiers personnels. Des instructions pour la mise à jour des dossiers sont incluses. Il est de la responsabilité de l’association Vipassana en coopération avec Calm de s'assurer que toute notification concernant des changements de situation est notée et prise en compte.


5.3 Les données personnelles doivent être conservées dans un format permettant que la personne concernée puisse être identifiée aussi longtemps que nécessaire pour le traitement.


5.3.1 Lorsque les données personnelles sont conservées au-delà de la date de traitement, elles seront réduites de façon à protéger l'identité de la personne concernée dans l'éventualité d'une violation des données.

5.3.2 Les données personnelles seront conservées conformément à la procédure de conservation des dossiers et, une fois la date de rétention expirée, elles devront être détruites de manière sécurisée comme prévu par la procédure.


5.4 Les données personnelles doivent être traitées d'une manière qui garantisse leur sécurité.

5.5 Des mesures techniques et organisationnelles appropriées seront prises contre le traitement non-autorisé ou illégal des données personnelles et contre la perte ou destruction accidentelle, ou les dommages causés aux données personnelles.


Ces contrôles ont été sélectionnés sur la base de risques encourus identifiés par les données personnelles, et en fonction du potentiel de préjudice et de cause de désarroi pour les individus dont les données sont traitées.


5.6 Données personnelles et transfert international


Le transfert de données personnelles en dehors de l'UE est interdit sauf si une ou plusieurs mesures de protection ou exceptions s'appliquent.

5.6.1

Une évaluation de la pertinence par l’association Vipassana prenant en compte les facteurs suivants :

  • la nature de l'information transférée ;
  • le pays ou territoire d'origine et la destination finale de l'information ;
  • comment l'information sera utilisée et pendant combien de temps ;
  • les lois et pratiques du pays du transfert, y compris les codes de pratique et obligations internationales pertinents ; et

5.6.2 Règles internes contraignantes

Calm adoptera des Règles Internes Contraignantes pour le transfert de données. Les « règles d'entreprise contraignantes » (ou BCR pour Binding corporate rules) partagées par le Comité de Calm devront être signées et mises en vigueur avant tout transfert de données internationales.

5.6.3 Clauses contractuelles types

Calm peut adopter des clauses contractuelles types approuvées pour le transfert de données hors de l'UE. Si Calm adopte les clauses contractuelles types approuvées par l'Autorité de Protection des Données, il y a une reconnaissance automatique de leur adéquation. L’association Vipassana appliquera les clauses contractuelles, si elles sont applicables, pour le transfert vers des pays n'appartenant pas à l'UE.

5.6.4 Exceptions

En l'absence de décision adéquate, y compris des Règles Interne Contraignantes, un transfert de données personnelles vers un pays tiers ou une organisation internationale ne pourra avoir lieu que dans une des conditions suivantes :

  • la personne concernée a explicitement consenti au transfert proposé, après avoir été informé des risques potentiels liés à ce type de transfert pour la personne concernée, due à l'absence d'une décision d'adéquation et de mesures de protections appropriées ;
  • le transfert est nécessaire pour la réalisation d'un contrat entre la personne concernée et le responsable du traitement des données ou pour la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
  • le transfert est nécessaire pour la conclusion ou la réalisation d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement des données et une autre personne physique ou morale ;
  • le transfert est nécessaire pour d'importantes raisons d'intérêt général ;
  • le transfert est nécessaire pour l'établissement, l'exercice ou la défense d'actions en justice ;
  • le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée est physiquement ou légalement incapable de donner son consentement ;
  • le transfert est fait depuis un registre qui, selon la loi de l'Union ou d'un État-membre, sert à fournir de l'information au public et qui est ouvert à la consultation, soit du public en général, soit de toute personne qui peut prouver un intérêt légitime, mais seulement dans la mesure où les conditions posées par la loi de l'Union ou de L’État-membre pour la consultation sont satisfaites dans ce cas particulier.

Une liste des pays qui satisfont aux exigences d'adéquation de la Commission est publiée au Journal Officiel de l'Union Européenne.

6. Droits des personnes concernées

Les personnes concernées devront être informées de leurs droits conformément aux « règles d'entreprise contraignantes » (ou BCR pour Binding corporate rules) signées et à la législation applicable. Si l'information concerne des étudiants de l'UE, ils bénéficient de droits supplémentaires pour lesquels ils peuvent contacter le RDP ou le DPD conformément au BCR. Les personnes concernées qui veulent se plaindre auprès de Calm de la manière dont leurs informations personnelles ont été traitées peuvent déposer leur plainte directement auprès du Référent Données Personnelles et du Délégué à la Protection des Données.

7. Sécurité des données

Tous les servants ont la responsabilité de s'assurer que toutes les données personnelles, Calm et non Calm, dont ils sont responsables, sont conservées de manière sécurisée et ne sont, sous aucune condition, divulguées à un tiers, sauf si ce tiers a été spécifiquement autorisée par Calm à recevoir cette information et a signé un accord de confidentialité.

Toutes les données personnelles ne doivent être accessibles que pour ceux qui ont besoin de les utiliser, et l'accès ne doit être accordé que conformément à la Politique de Contrôle d'Accès. Les données personnelles doivent être gardées :

  • dans une pièce pouvant être verrouillée avec un accès contrôlé ; et/ou
  • dans un meuble de classement ou un tiroir fermé à clé ; et/ou
  • si informatisées, protégées par un mot de passe conforme aux exigences internes prévues dans la Politique de Contrôle d'Accès ; et/ou
  • conservées sur un disque dur (externe),
  • et seront cryptées et anonymisées ou pseudonymiséees autant que possible.

Il convient de veiller à ce que les écrans et les terminaux de PC ne soient pas visibles, sinon par les servants autorisés.

Les dossiers physiques ne doivent pas être laissés dans un lieu où ils peuvent être consultés par du personnel non autorisé, et ne peuvent être retirés du lieu de travail sans une autorisation explicite. Aussitôt que les dossiers papier ne sont plus nécessaires au traitement quotidien du client, ils doivent être supprimés du lieu d'archivage sécurisé.

Les données personnelles ne peuvent être effacées ou supprimées que conformément à la Procédure de Conservation des Données. Les dossiers physiques qui ont atteint leur délai de conservation doivent être déchiquetés et éliminés comme ‘déchets confidentiels’. Les disques durs de PC redondants doivent être retirés et immédiatement détruits tel qu’exigé avant élimination.

Le traitement de données personnelles ‘hors-centre’ présente un plus grand risque potentiel de perte, vol ou dommage pour ces données personnelles. Les servants doivent être spécifiquement autorisés à traiter des données hors-centre, être au courant de la procédure en cas de violation des données et l'appliquer si nécessaire.

8. Divulgation de données

Calm et l’association Vipassana doivent garantir que les données personnelles ne sont pas divulguées à des tiers non-autorisés, y inclus les membres de la famille, les amis, les instances du gouvernement et, dans certains cas, la police. Tous les servants doivent faire preuve de prudence quand il leur est demandé de divulguer des données personnelles détenues sur un autre individu à un tiers et il leur sera demandé de participer à une formation spécifique qui leur permettra de gérer efficacement de tels risques. Il est important de garder à l'esprit si la divulgation de l'information est pertinente ou non, et nécessaire, à la conduite des cours, ou pour être en adéquation avec les obligations légales (nationales). Toutes les requêtes pour fournir des données pour l'une de ces raisons doivent être appuyées par les documents administratifs appropriés, et toutes les divulgations de cette nature doivent être expressément autorisées par le Délégué à la Protection des Données.

9. Procédure en cas de violation des données

Calm et l’association Vipassana a introduit une procédure en cas de violation des données. Toute violation doit être signalée au RDP/DPD en accord avec la politique en vigueur.

10. Date d'effet

Cette politique de confidentialité entre en vigueur à compter du 26 mai 2018. Calm se réserve le droit d'ajuster / de reconfigurer cette politique. Tous les utilisateurs de Calm sont liés par la politique. Cela inclut la direction de Calm, le conseil de supervision, le Comité de Calm, le DPD, les comités et les servants qui utilisent Calm, ainsi que les pays et tierces parties dès lors que leurs obligations sont mentionnées dans le cadre de cette politique.

11. Communication

La politique sera également communiquée aux étudiants et aux servants s'inscrivant à un cours de manière compréhensive et exhaustive. Une copie de cette politique est disponible sur demande pour tous les utilisateurs de Calm et peut également être consultée sur la page web.