Les normes validées par la CNIL sont des outils qui permettent à un organisme de mettre en conformité ses traitements de données personnelles. Bien qu'elle ne soit pas obligatoire (les organisations peuvent s'écarter de ses recommandations à condition de pouvoir justifier leurs options), elle apporte néanmoins une sécurité juridique aux organisations qui suivent.

La norme "Gestion Commerciale" :

La norme "Gestion Commerciale" a été adopté après consultation publique et s'adresse à tous les organismes privés et publics qui préparent l'informatique pour gérer leurs activités commerciales. Elle remplace la norme simplifiée 48, qui n'a plus de valeur juridique depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD).
La norme fournit un cadre de traitement tel que la gestion des contrats (ex : gestion des commandes, des livraisons, ou gestion de la facturation et des paiements), l'administration des programmes de fidélisation, et le suivi de la relation client pour sa mise en œuvre. Enquêtes de satisfaction, gestion des réclamations et SAV, ou encore mener des démarches de prospection commerciale.
La norme met à jour et consolide la doctrine de la CNIL sur la gestion des fichiers clients et prospects en intégrant les évolutions liées à la mise en place du RGPD et à la modification de la loi Informatique et Libertés. Parmi les principales évolutions :
- L'Encadrement des transferts de données à des tiers à des fins de prospection commerciale : la norme définit les bases juridiques possibles de telles opérations conformément au cadre légal applicable et précise les obligations de chaque acteur;
- L'ajout des précisions sur les durées de conservation, notamment les données collectées dans le cadre de l'exercice des droits des personnes ;

La norme "Gestion des impayés" :

Cette norme régit l'exécution par les personnes morales de droit public ou privé du traitement administratif des créances et créances financières avérées impayées (celles qui ne font pas l'objet d'un doute). A ce titre, la norme fournit un cadre de traitement qui vise à identifier les factures impayées et à identifier les personnes à leur origine afin de pouvoir les exclure de toute transaction future.