Aux termes de la loi informatique et libertés de 2004, la CNIL dispose d’un pouvoir d’autorisation expresse des dispositifs biométriques.

Dans ce cadre, la CNIL a souhaité préciser les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur.

La Commission rappelle que ces dispositifs ne sont justifiés que s’ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes :

  • la finalité du dispositif : elle doit être limitée au contrôle de l’accès d’un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme tel que la protection de l’intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations (ex : accès à une centrale nucléaire, à une cellule de production de vaccins ou à un site Seveso II) ;
  • la proportionnalité : le système proposé est-il bien adapté à la finalité préalablement définie eu égard aux risques qu’il comporte en matière de protection des données à caractère personnel ?
  • la sécurité : le dispositif doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données ;
  • l’information des personnes concernées : elle doit être réalisée dans le respect de la loi « informatique et libertés » et, le cas échéant, du Code du travail.