POLITIQUE DE CONFIDENTIALITE CALM

1. Politique, portée et objectifs

Objectif : Afin de s'assurer que Calm est conscient de tout risque associé au traitement de types particuliers d'informations personnelles, Calm a une méthode pour évaluer le niveau de risque pour les individus associés au traitement de leurs informations personnelles. Des évaluations seront également effectuées pour les traitements pris en charge par d'autres organisations au nom de Calm. Calm s’engage à gérer tout risque identifié par l’évaluation des risques afin de réduire l'éventualité d'une non-conformité à cette politique.

Là où un type de traitement, en particulier utilisant de nouvelles technologies et prenant en compte la nature, l'envergure, le contexte et les objectifs du traitement, est susceptible d'entraîner un risque élevé pour les “droits et libertés” de personnes physique, Calm s’engage, avant le traitement, à effectuer une analyse de l'impact des opérations de traitement envisagées sur la protection des données personnelles.

Une seule analyse peut couvrir un ensemble d'opérations similaires de traitement qui présentent le même type de risques élevés.

Là où, résultant d'une Analyse d’impact de la Protection des Données, il est établi que Calm est sur le point de commencer un traitement d'informations personnelles qui pourrait causer des préjudices et/ou du désarroi pour les personnes concernées, la décision de savoir si Calm peut continuer ou non doit être soumise au Délégué à la Protection des Données. Le Délégué à la Protection des Données devra, s'il y a des préoccupations majeures, soit en termes de préjudices ou de détresse potentiels, ou à propos de la quantité de données concernée, faire remonter l'affaire au Conseil de la Fondation Calm ou à la Commission de Supervision de la Fondation Calm.

Des contrôles appropriés seront sélectionnés et appliqués pour réduire le niveau de risques associé au traitement de données individuelles à un niveau acceptable, en se référant au document de Calm sur le critère d'acceptation des risques et aux exigences du RGPD.

2. Contexte du Règlement Général sur la Protection des Données (‘RGPD’)

En cours de traduction, merci de votre compréhension.

The General Data Protection Regulation 2016 replaces the EU Data Protection Directive of 1995 and supersedes the laws of individual Member States that were developed in compliance with the Data Protection Directive 95/46/EC. Its purpose is to protect the “rights and freedoms” of living individuals, and to ensure that personal data is not processed without their knowledge, and, wherever possible, that it is processed with their consent.

3. Définitions utilisées par l'organisation (issues du RGDP)

Portée territoriale – Le RGPD s'appliquera à tous les responsables de traitements établis dans l'UE (Union Européenne et les pays de la Zone Économique Européenne) qui traitent les données personnelles des personnes concernées, dans le contexte de cet établissement. Il s'appliquera également aux responsables de traitements hors de l'UE qui traitent des données personnelles en vue d'offrir des biens et des services, ou de surveiller le comportement de sujets résidant dans l'UE.

Établissement –l'établissement principal du responsable des traitements au sein de l'UE sera l'endroit où le responsable des traitements prend les décisions principales en ce qui concerne l’objectif de ses activités de traitement des données. L'établissement principal d'un sous-traitant dans l'UE sera son centre administratif. Si un responsable des traitements est basé hors de l'UE, il devra nommer un représentant dans la juridiction dans laquelle le responsable des traitements opère, pour agir au nom du responsable des traitements et coopérer avec les autorités de contrôle.

Données personnelles – Toute information relative à une personne physique identifiée ou identifiable ('personne concernée'); une personne physique identifiable est quelqu'un qui peut être identifié, directement ou indirectement, en particulier par une référence à un identifiant tel que nom, numéro d'identification, données de localisation, un identifiant en ligne ou par un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

Catégories spéciales de données personnelles – Des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance à un syndicat, et le traitement de données génétiques ou biométriques dans l'unique but d'identifier une personne physique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Le responsable de traitement des données – Personne physique ou morale, autorité publique, agence ou autre entité qui, seule ou conjointement avec d'autres, détermine les objectifs et les moyens du traitement des données personnelles; dans les territoires où les objectifs et moyens d'un tel traitement sont déterminés par les lois de l'Union ou de L’État membre, le responsable des traitements ou le critère spécifique pour sa nomination peut être fourni par la loi de l'Union ou d'un État membre.

Personne concernée – Tout individu vivant auquel se réfèrent des données personnelles détenues par une organisation.

Traitement – Toute opération ou ensemble d'opérations effectuées sur des données personnelles ou des ensembles de données personnelles, que ce soit ou non à l'aide de moyens automatisés, telle que le recueil, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la dissémination ou autre moyen de rendre disponible, l’alignement ou la combinaison, la restriction, la suppression ou la destruction./span>

Profilage – Signifie n'importe quelle forme de traitement automatique de données personnelles effectué afin d'évaluer certains aspects personnels relatifs à une personne physique, ou d'analyser ou de prédire les performances de cette personne au travail, sa situation économique, son adresse, sa santé, ses préférences personnelles, sa fiabilité ou son comportement. Cette définition est liée au droit de la personne concernée de s'opposer au profilage et au droit à être informée de l'existence de ce profilage, de mesures fondées sur ce profilage et des effets envisagés du profilage sur l'individu.

Violation des données personnelles – Une violation des mesures de sécurité menant de façon accidentelle ou illégale, à la destruction, la perte, l’altération, la divulgation non autorisée, ou à un accès à des données personnelles transmises, conservées ou autrement traitées. Il y a obligation pour le responsable des traitements de déclarer les violations aux données personnelles à l’autorité de surveillance et si cette violation est susceptible d'affecter négativement les données personnelles ou la vie privée de la personne concernée.

Consentement de la personne concernée – Signifie n'importe quelle indication librement consentie, spécifique, informée et non ambiguë des souhaits de la personne concernée par lesquels il ou elle, par une déclaration ou par une action affirmative claire, signifie l'agrément au traitement des données personnelles.

Enfant – Le RGPD définit un enfant comme tout individu âgé de moins de seize ans. Le traitement des données personnelles d'un enfant de moins de treize ans est légal uniquement si un accord parental ou du tuteur a été obtenu.

Tierce partie – Personne physique ou morale, autorité publique, agence ou entité autre que la personne concernée, responsable des traitements, sous-traitant et personnes qui, sous l'autorité directe du responsable des traitements ou du sous-traitant, sont autorisées à traiter les données personnelles.

Système de classement – Tout ensemble structuré de données personnelles qui sont accessibles selon un critère spécifique, qu'il soit centralisé, décentralisé ou dispersé sur une base fonctionnelle ou géographique.


Définitions additionnelles spécifiques


Étudiant – Quiconque s'inscrit ou participe à un cours de Méditation Vipassana conduit par un assistant enseignant de S.N. Goenka.

Assistant enseignant – Quiconque a été nommé par S.N. Goenka ou ses représentants pour conduire des cours de Méditation Vipassana, y compris les Enseignants.

Ancien étudiant – Quiconque a participé à un cours complet de Méditation Vipassana conduit par S.N. Goenka ou l'un de ses Assistants enseignants.

Servant – Un Ancien étudiant qui aide sur un cours ou dans un centre.

4. Responsabilités dans le cadre du Règlement Général sur la Protection des Données

4.1 Calm est un contrôleur dans le cadre du RGPD.

4.2 La direction et tous ceux ayant des rôles de supervision ou de gestion au sein de Calm ont la responsabilité d'encourager et de développer des bonnes pratiques de gestion de l'information au sein de l'organisation ; les responsabilités sont définies dans les descriptifs des fonctions individuelles.

4.3 Le Délégué à la Protection des Données et les membres du conseil de la Fondation Calm répondent devant le Conseil de Supervision de Calm de la gestion des informations au sein de Calm et ont la responsabilité de s'assurer que le respect de la législation sur la protection des données et des bonnes pratiques puisse être démontré. Cette responsabilité inclut :

4.3.1 le développement et la mise en œuvre du SGIP tel que requis par cette politique ; et

4.3.2 sla gestion des risques et la sécurité conformément à cette politique.

4.4 Le DPD et le Conseil de la Fondation Calm sont considérés comme ayant les qualifications et l'expérience nécessaires et ont été nommés pour prendre en charge la responsabilité de la conformité de Calm avec cette politique sur une base quotidienne et, plus particulièrement, la responsabilité directe de garantir que Calm respecte le RGPD, comme le font les membres du Conseil de Supervision pour ce qui est du traitement des données qui a lieu dans leur domaine de responsabilité.

4.5 Le Délégué à la Protection des Données et ses représentants locaux ont des responsabilités spécifiques eu égard aux procédures telles que la Procédure de Demande d'Accès du Sujet et sont le premier point de référence pour les étudiants et les servants cherchant à clarifier tout aspect de conformité à la protection des données.

4.6 La conformité avec la législation sur la protection des données relève de la responsabilité de tous les servants qui traitent des informations personnelles.

4.7 La Politique de Formation de Calm détermine une formation spécifique et des exigences en matière d'attention en ce qui concerne des rôles spécifiques et les servants travaillant avec Calm.

4.8 Les servants de Calm sont responsables de garantir que toute information personnelle fournie par eux et qui les concerne, à Calm, est exacte et à jour.

5. Analyse des risques

Objectif : Afin de s'assurer que Calm est conscient de tout risque associé au traitement de types particuliers d'informations personnelles, Calm a une méthode pour évaluer le niveau de risque pour les individus associés au traitement de leurs informations personnelles. Des évaluations seront également effectuées pour les traitements pris en charge par d'autres organisations au nom de Calm. Calm s’engage à gérer tout risque identifié par l’évaluation des risques afin de réduire l'éventualité d'une non-conformité à cette politique.

Là où un type de traitement, en particulier utilisant de nouvelles technologies et prenant en compte la nature, l'envergure, le contexte et les objectifs du traitement, est susceptible d'entraîner un risque élevé pour les “droits et libertés” de personnes physique, Calm s’engage, avant le traitement, à effectuer une analyse de l'impact des opérations de traitement envisagées sur la protection des données personnelles.

Une seule analyse peut couvrir un ensemble d'opérations similaires de traitement qui présentent le même type de risques élevés.

Là où, résultant d'une Analyse d’impact de la Protection des Données, il est établi que Calm est sur le point de commencer un traitement d'informations personnelles qui pourrait causer des préjudices et/ou du désarroi pour les personnes concernées, la décision de savoir si Calm peut continuer ou non doit être soumise au Délégué à la Protection des Données. Le Délégué à la Protection des Données devra, s'il y a des préoccupations majeures, soit en termes de préjudices ou de détresse potentiels, ou à propos de la quantité de données concernée, faire remonter l'affaire au Conseil de la Fondation Calm ou à la Commission de Supervision de la Fondation Calm.

Des contrôles appropriés seront sélectionnés et appliqués pour réduire le niveau de risques associé au traitement de données individuelles à un niveau acceptable, en se référant au document de Calm sur le critère d'acceptation des risques et aux exigences du RGPD.

6. Principes de protection des données

Tout traitement de données personnelles doit être fait en accord avec les principes de protection des données du Règlement ci-dessous, et les politiques et procédures de Calm sont conçues pour être en conformité avec ceux-ci.

6.1  Les données personnelles doivent être traitées de manière légale, équitable et transparente.

Le RGPD introduit l’exigence de transparence par laquelle Vipassana a des politiques de traitement des données personnelles et d'exercice des “droits et libertés individuelles”, transparentes et facilement accessibles. Ces informations doivent être communiquées à l'étudiant de façon intelligible dans un langage clair et simple.

Les informations spécifiques qui doivent être fournies à l'étudiant doivent à minima inclure :

6.1.1. l'identité et les coordonnées de la Fondation Calm s'il y a lieu, ou Vipassana et, s'il existe, celles du représentant ;

6.1.2. les coordonnées du Délégué à la Protection des Données ;

6.1.3. les objectifs du traitement auquel les données personnelles sont destinées ainsi que le fondement légal de ce traitement ;

6.1.4. la période pendant laquelle les données personnelles seront conservées ;

6.1.5. l'existence de droits permettant d'exiger l'accès, la rectification, la suppression, ou de s'opposer au traitement ;

6.1.6. les catégories de données personnelles concernées ;

6.1.7. les destinataires ou catégories de destinataires des données personnelles ;

6.1.8. s’il y a lieu, que l’association Vipassana a l'intention de transférer les données personnelles à un destinataire dans un autre pays et le niveau de protection offert à ces données ;

6.1.9. toute information supplémentaire nécessaire pour garantir un traitement équitable ;

6.2  Les données personnelles ne peuvent être collectées que dans des buts spécifiques, explicites et légitimes.

Les données obtenues dans des buts spécifiques ne doivent pas être utilisées dans un but qui diffère de ceux formellement notifiés à la DPA (Autorité chargée de la protection des données) dans le cadre des inscriptions sur Calm.

6.3  Les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour leur traitement.

6.3.1. Le Délégué à la Protection des Données est conjointement responsable, avec l’association Vipassana d'assurer que les informations qui ne sont pas strictement nécessaires aux fins desquelles elles ont été obtenues, ne sont pas collectées.

6.3.2. Tous les formulaires de recueil de données (électroniques ou papiers), y compris les conditions de recueil de données dans les nouveaux systèmes d'information, doivent être approuvés par le Délégué à la Protection des Données.

6.3.3. Le Délégué à la Protection des Données s'assurera, sur une base annuelle, que toutes les méthodes de recueil de données sont examinées par un audit interne afin de garantir que les données collectées restent adéquates, pertinentes, et ne sont pas superflues.

6.3.4. Si des données qui ont été données ou obtenues s'avèrent superflues ou ne sont pas spécifiquement requises par les procédures prévues par Calm ou l’association Vipassana, le Délégué à la Protection des Données a la responsabilité de s’assurer qu'elles sont effacées ou détruites de manière sécurisée, en ligne avec la politique de suppression.

6.4  Les données personnelles doivent être exactes et à jour.

6.4.1. Les données qui sont conservées pendant longtemps doivent être contrôlées et mises à jour si nécessaire. Aucune donnée ne doit être conservée si l’on ne peut raisonnablement assumer qu'elle est exacte.

6.4.2. L’association Vipassana et Calm ont la responsabilité de s'assurer que tous les servants sont formés sur l'importance de recueillir des données exactes et de les maintenir à jour.

6.4.3. Il est également de la responsabilité des individus de s'assurer que les données détenues par Calm et l’association Vipassana sont exactes et à jour. Un remplissage correct d'une pré-inscription ou d'un formulaire d'inscription etc. sera considéré comme une indication que les informations qui y sont contenues sont exactes à la date de soumission.

6.4.4. Les servants et les étudiants doivent notifier à Calm et à l’association Vipassana tout changement de situation afin de permettre la mise à jour des dossiers personnels. Des instructions pour la mise à jour des dossiers sont incluses. Il est de la responsabilité de l’association Vipassana en coopération avec Calm de s'assurer que toute notification concernant des changements de situation est notée et prise en compte.

6.4.5. Le Délégué à la Protection des Données a la responsabilité de s’assurer que des mesures supplémentaires appropriées sont prises pour garder les données personnelles exactes et à jour, en prenant en compte le volume d'informations recueillies, la vitesse à laquelle elles pourraient changer ainsi que tout autre facteur pertinent.

6.4.6. Au moins une fois par an, le Délégué à la Protection des Données examinera toutes les données personnelles gérées par l’association Vipassana, en se référant au Registre d'Inventaire des Données, identifiera toute donnée qu’il n'est plus requis de conserver compte tenu de l'objectif prévu et fera en sorte que cette donnée soit supprimée/détruite en toute sécurité.

6.4.7. Le Délégué à la Protection des Données a la responsabilité de prendre les dispositions nécessaires pour informer les tierces parties, lorsque des informations personnelles inexactes ou caduques leur ont été transmises, que lesdites informations sont inexactes et/ou caduques et ne doivent pas servir à prendre des décisions à propos des individus concernés ; et il devra transmettre les informations personnelles corrigées aux tierces parties en tant que de besoin.

6.5  Les données personnelles doivent être conservées dans un format permettant que la personne concernée puisse être identifiée uniquement aussi longtemps que le nécessite le traitement.

6.5.1 Lorsque les données personnelles sont conservées au-delà de la date de traitement, elles seront réduites de manière à protéger l'identité de la personne concernée dans l'éventualité d'une violation des données.

6.5.2 Les données personnelles seront conservées conformément à la procédure de conservation des dossiers et, une fois que leur date de conservation est expirée, elles devront être détruites de manière sécurisée comme prévu dans la procédure.

6.5.3  Le Délégué à la Protection des Données doit approuver spécifiquement toute conservation de données qui excède la période de rétention et doit s'assurer que la justification est clairement identifiée et conforme aux exigences de la législation sur la protection des données. Cette approbation doit être écrite (cela inclut les courriels).

6.6  >/span>Les données personnelles doivent être traitées d'une manière qui garantisse leur sécurité.

6.7  Des mesures techniques et organisationnelles doivent être prises contre le traitement non autorisé ou illégal des données personnelles et contre la perte ou la destruction accidentelles de données personnelles, ou leur dégradation.

 

Ces contrôles ont été sélectionnés sur la base de risques encourus identifiés par les données personnelles, et en fonction du potentiel de préjudice et de cause de désarroi pour les individus dont les données sont traitées.

La conformité de Calm à ce principe est contenue dans son Système de Gestion de la Sécurité des Informations [Information Security Management System (ISMS)], qui a été développé en accord avec le ISO/IEC 27001:2013. Les contrôles de sécurité seront l'objet d'audit et d’examen.

D'autres moyens de traitement que Calm, utilisés par l’association Vipassana, doivent avoir des mesures de protection appropriées et font l'objet d'une approbation par le DPD et le RDP. Ceci inclut les outils pour les danas, les lettres d'information, etc.

6.8  Les données personnelles ne seront pas transférées vers un pays ou territoire hors de l'Union Européenne sauf à ce que ce pays ou territoire garantisse un niveau de protection adéquat envers les « droits et libertés » des personnes concernées en ce qui concerne le traitement des données personnelles.

Le transfert de données personnelles en dehors de l'UE est interdit sauf si une ou plusieurs mesures de protection ou exceptions s'appliquent.

6.8.1   Safeguards

Une évaluation de la pertinence par l’association Vipassana prenant en compte les facteurs suivants :

  •      >/span>la nature de l'information transférée; le pays ou territoire d'origine et la destination finale de l'information ;
  •  comment l'information sera utilisée et pendant combien de temps ;
  •  les lois et pratiques du pays du transfert, y compris les codes de pratique et obligations internationales pertinents. Et

Règles internes contraignantes

Calm adoptera des Règles Internes Contraignantes pour le transfert de données hors de l'UE et/ou d'autres mesures telles que le Bouclier de Protection (Privacy Shield) pour le transfert vers les États-Unis. L’association Vipassana appliquera les RIC pour le transfert le cas échéant.

6.8.3    Clauses contractuelles types

Calm peut adopter des clauses contractuelles types approuvées pour le transfert de données hors de l'UE. Si Calm adopte les clauses contractuelles types approuvées par l'Autorité de Protection des Données, il y a une reconnaissance automatique de leur adéquation. L’association Vipassana appliquera les clauses contractuelles, si elles sont applicables, pour le transfert vers des pays n'appartenant pas à l'UE.

6.8.4 Exceptions

En l'absence de décision adéquate, y compris des Règles Interne Contraignantes, un transfert de données personnelles vers un pays tiers ou une organisation internationale ne pourra avoir lieu que dans une des conditions suivantes :

  •   la personne concernée a explicitement consenti au transfert proposé, après avoir été informé des risques potentiels liés à ce type de transfert pour la personne concernée, due à l'absence d'une décision d'adéquation et de mesures de protections appropriées ;
  •  Le transfert est nécessaire pour la réalisation d'un contrat entre la personne concernée et le responsable du traitement des données ou pour la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
  •   Le transfert est nécessaire pour la conclusion ou la réalisation d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement des données et une autre personne physique ou morale ;
  •   Le transfert est nécessaire pour d'importantes raisons d'intérêt général ;
  •   Le transfert est nécessaire pour l'établissement, l'exercice ou la défense d'actions en justice ;
  •    Le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée est physiquement ou légalement incapable de donner son consentement ;
  •   Le transfert est fait depuis un registre qui, selon la loi de l'Union ou d'un État- membre, sert à fournir de l'information au public et qui est ouvert à la consultation, soit du public en général, soit de toute personne qui peut prouver un intérêt légitime, mais seulement dans la mesure où les conditions posées par la loi de l'Union ou de L’État-membre pour la consultation sont satisfaites dans ce cas particulier.

Une liste des pays qui satisfont aux exigences d'adéquation de la Commission est publiée au Journal Officiel de l'Union Européenne.

 

6.9   Responsabilité

Le RGPD introduit le principe de responsabilité qui prévoit que le responsable du traitement des données n'est pas seulement garant de la conformité mais doit également démontrer que chaque opération de traitement est conforme aux exigences du RGPD.

Plus précisément, les responsables du traitement des données tels que Calm mais aussi l’association Vipassana sont tenus de maintenir la documentation nécessaire de toutes les opérations de traitement, de faire appliquer les mesures de sécurité appropriées, d'effectuer des AIPDs (Analyses d’impact relatives à la Protection des Données), se conformer aux exigences de notifications préalables, ou l'approbation des autorités de supervision, et nommer un Délégué à la Protection des Données. Cela signifie que chaque comité en Europe doit nommer un DPD ou le DPD de Calm. Les Référents Données Personnelles travaillent comme adjoints du DPD. Les comités hors de l'Union peuvent nommer un RDP.

7. Droits des personnes concernées

Les étudiants ont les droits suivants en ce qui concerne le traitement des données, et des données enregistrées les concernant :

7.1 Demander d'accéder à la nature de l'information détenue et à qui elle a été divulguée.

7.2D'empêcher un traitement susceptible d'entraîner des préjudices ou du désarroi.

7.3 D'empêcher un traitement aux fins de marketing direct.

7.4 D'être informé à propos des mécanismes liés aux processus automatisés de prises de décision qui vont les affecter significativement.

7.5 Ne pas avoir de décisions significatives les affectant prises uniquement par des processus automatisés.

7.6 De réclamer une indemnisation s'ils subissent un préjudice suite à une infraction quelconque au RGPD.

7.7 D'entreprendre une action en vue de rectifier, bloquer, effacer, y compris le droit à être oublié, ou de détruire des données inexactes.

7.8 Demander à la DPA (Autoriteit Persoonsgegevens) de déterminer si une disposition du RGPD a été enfreinte.

7.9 Le droit que les données personnelles leur soient fournies dans un format structuré, communément utilisé et lisible sur la plupart des ordinateurs, ainsi que le droit de transmettre ces données à un autre responsable de traitement de données.

7.10 Le droit d'objecter à tout établissement du profil automatisé sans consentement.

Les étudiants peuvent faire des demandes d'accès aux données. La procédure décrit également comment Calm et l’association Vipassana garantiront que la réponse à la demande d'accès aux données se conforme aux exigences du Règlement.

Les étudiants ont également le droit de s'opposer au traitement. Pour ce qui est de la RSL, une Commission des Cas Spéciaux étudiera les entrées selon les procédures de Calm. Si nécessaire, l’association Vipassana orientera l'étudiant vers le DPD, qui pourra contacter la Commission des Cas Spéciaux pour revoir une entrée.

Réclamations

Les personnes concernées qui souhaitent déposer une plainte auprès de Calm ou de l’association Vipassana à propos de la manière dont leurs informations personnelles ont été traitées peuvent adresser leur réclamation directement au Délégué à la Protection des Données.

Les personnes concernées peuvent également déposer une plainte directement auprès du DPA (de Autoriteit Persoonsgegevens).

Lorsque les personnes concernées souhaitent se plaindre de la manière dont leur réclamation a été gérée, ou faire appel de toute décision prise à l'issue de la réclamation, ils peuvent déposer une autre plainte auprès du Délégué à la Protection des Données. Le droit de faire cela doit être inclus dans les procédures de réclamation et être communiqué aux étudiants et aux servants.

8. Consentement

Calm et l’association Vipassana comprennent "consentement" comme signifiant qu'il a été explicitement et librement donné une indication dénuée d'ambiguïté, informée et spécifique des souhaits de la personne concernée par laquelle il ou elle, par déclaration ou bien par une action affirmative claire, signifie son accord au traitement des données personnelles qui lui sont liées. Le consentement de la personne concernée peut être retiré à tout moment. Calm et l’association Vipassana comprennent "consentement" comme signifiant que la personne concernée a été pleinement informée du traitement prévu et a signifié son accord, en pleine possession de ses moyens intellectuels et sans pression exercée sur elle. Un consentement obtenu sous la pression ou sur la base d'informations fallacieuses ne constituera pas un support valide pour le traitement. Il doit y avoir une communication active entre les parties qui prouve le consentement actif. Le consentement ne peut pas être déduit d'une absence de réponse à une communication. Pour des données sensibles, le consentement écrit explicite des personnes concernées doit être obtenu sauf si un support alternatif légitime existe pour le traitement. Dans la plupart des cas, le consentement pour traiter des données personnelles et sensibles est obtenu en routine par Calm et l’association Vipassana au moyen de documents de consentement standards, par exemple quand un étudiant s'inscrit à un cours ou qu'un servant s'inscrit pour servir. Lorsque Calm et l’association Vipassana fournissent des services en ligne à des enfants, une autorisation parentale ou de tutelle doit être obtenue. Cette exigence s'applique aux enfants de moins de 16 ans (à moins que l’État-membre ait une clause pour une limite d'âge plus basse - qui ne peut être inférieure à 13 ans). Les mêmes principes s'appliquent pour d'informations d’enfants en dehors du système Calm par l’association Vipassana.

9. Sécurité des données

Tous les servants ont la responsabilité de s'assurer que toutes les données personnelles, Calm et non Calm, dont ils sont responsables, sont conservées de manière sécurisée et ne sont, sous aucune condition, divulguées à un tiers, sauf si ce tiers a été spécifiquement autorisée par Calm à recevoir cette information et a signé un accord de confidentialité.

Toutes les données personnelles ne doivent être accessibles que pour ceux qui ont besoin de les utiliser, et l'accès ne doit être accordé que conformément à la Politique de Contrôle d'Accès. Les données personnelles doivent être gardées :

  • dans une pièce pouvant être verrouillée avec un accès contrôlé ; et/ou
  • dans un meuble de classement ou un tiroir fermé à clé ; et/ou
  • si informatisées, protégées par un mot de passe conforme aux exigences internes prévues dans la Politique de Contrôle d'Accès ; et/ou
  • conservées sur un disque dur (externe),
  • et seront cryptées et anonymisées ou pseudonymiséees autant que possible.

Il convient de veiller à ce que les écrans et les terminaux de PC ne soient pas visibles, sinon par les servants autorisés.

Les dossiers physiques ne doivent pas être laissés dans un lieu où ils peuvent être consultés par du personnel non autorisé, et ne peuvent être retirés du lieu de travail sans une autorisation explicite. Aussitôt que les dossiers papier ne sont plus nécessaires au traitement quotidien du client, ils doivent être supprimés du lieu d'archivage sécurisé.

Les données personnelles ne peuvent être effacées ou supprimées que conformément à la Procédure de Conservation des Données. Les dossiers physiques qui ont atteint leur délai de conservation doivent être déchiquetés et éliminés comme ‘déchets confidentiels’. Les disques durs de PC redondants doivent être retirés et immédiatement détruits tel qu’exigé avant élimination.

Le traitement de données personnelles ‘hors-centre’ présente un plus grand risque potentiel de perte, vol ou dommage pour ces données personnelles. Les servants doivent être spécifiquement autorisés à traiter des données hors-centre, être au courant de la procédure en cas de violation des données et l'appliquer si nécessaire.

10. Droit d'accès aux données

Les personnes concernées ont le droit d'accéder à toute donnée personnelle (qui les concerne) détenue dans Calm en format électronique et dossiers papier faisant partie d'un système de classement pertinent. Ceci inclut le droit d'inspecter des références personnelles confidentielles reçues par Calm, et les informations obtenues par des organisations tierces à propos de cette personne.

11. Divulgation de données

Calm et l’association Vipassana garantira que les données personnelles ne sont pas divulguées à des tiers non-autorisés, y inclus les membres de la famille, les amis, les instances du gouvernement et, dans certains cas, la police. Tous les servants doivent faire preuve de prudence quand il leur est demandé de divulguer des données personnelles détenues sur un autre individu à un tiers et il leur sera demandé de participer à une formation spécifique qui leur permettra de gérer efficacement de tels risques. Il est important de garder à l'esprit si la divulgation de l'information est pertinente ou non, et nécessaire pour la conduite des cours.

Le RGPD autorise certaines divulgations sans consentement dans la mesure où l'information est requise pour l'un ou plusieurs des objectifs suivants:

  • sauvegarder la sécurité nationale ;
  • la prévention ou la détection du crime, y compris l'appréhension et la poursuite des contrevenants ;
  • l'évaluation ou la collecte d'impôts ;
  • s'acquitter de fonctions de régulation (cela inclut la santé, la sécurité et le bien-être des personnes au travail) ;
  • éviter un dommage sérieux à un tiers ;
  • protéger les intérêts vitaux de l'individu, ceci renvoie à des situations de vie ou de mort.
Toutes les requêtes pour fournir des données pour l'une de ces raisons doivent être appuyées par les documents administratifs appropriés, et toutes les divulgations de cette nature doivent être expressément autorisées par le Délégué à la Protection des Données.

12. Rétention et élimination des données

Les données personnelles ne peuvent pas être conservées plus longtemps que nécessaire. Une fois qu'un servant n'est plus actif ou qu'un étudiant a cessé de s'inscrire aux cours, il n'est pas forcément nécessaire de conserver toutes les informations les concernant. Certaines données seront conservées pendant plus longtemps que d'autres. Les procédures de rétention et d'élimination des données de Calm s'appliqueront dans tous les cas couverts par l'utilisation de Calm.

Élimination des dossiers

Les données personnelles doivent être éliminées d'une façon qui protège les “droits et libertés” des personnes concernées (par exemple le déchiquetage, l'élimination comme déchet confidentiel, suppression sécurisée électronique) et en accord avec la procédure d'élimination sécurisée.

13. Procédure en cas de violation des données

Calm et l’association Vipassana a introduit une procédure en cas de violation des données. Toute violation doit être signalée au RDP/DPD en accord avec la politique en vigueur.

14. Date d'effet

Cette politique de confidentialité entre en vigueur à compter du 26 mai 2018. Calm se réserve le droit d'ajuster / de reconfigurer cette politique. Tous les utilisateurs de Calm sont liés par la politique. Cela inclut la direction de Calm, le conseil de supervision, le Comité de Calm, le DPD, les comités et les servants qui utilisent Calm, ainsi que les pays et tierces parties dès lors que leurs obligations sont mentionnées dans le cadre de cette politique.

15. Communication

La politique sera également communiquée aux étudiants et aux servants s'inscrivant à un cours de manière compréhensive et exhaustive. Une copie de cette politique est disponible sur demande pour tous les utilisateurs de Calm et peut également être consultée sur la page web.