Les traitements sensibles, du fait de la finalité poursuivie ou de la nature des informations traitées, sont désormais soumis à autorisation de la CNIL.
« La biométrie est l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques voire comportementales. Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales…) et se rapprochent ainsi de ce qui pourrait être défini comme un “identificateur unique universel” permettant de fait le traçage des individus « (L’homo informaticus entre servitude et liberté, CNIL, 26e rapport d’activité 2005, p. 49).
Dans un avis du 10 février 2005, la CNIL a souligné le caractère facultatif et expérimental du dispositif mais a rappelé que le type de traitement sous une forme automatisée et centralisée des empreintes digitales ne peut être admis que dans la mesure où il répond à des exigences impérieuses en matière de sécurité ou d’ordre public.
D’une manière générale, la CNIL n’autorise que les dispositifs où l’empreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée.
Concernant les dispositifs biométriques, la CNIL prend en considération le type de biométrie utilisée : biométrie « à traces » ou biométrie « sans traces », selon qu’il est possible ou non de récupérer une donnée biométrique à l’insu de la personne.
En matière de biométrie « à traces », la CNIL a autorisé le 22 septembre 2005 la mise en œuvre d’un dispositif biométrique dont l’objet est de garantir que les personnes se connectant à un service d’informations financières sont bien les utilisateurs légitimes. Ce dispositif est mis en œuvre à des fins de sécurité, il repose sur l’enregistrement de l’empreinte digitale à l’aide d’un support individuel exclusivement détenu par l’utilisateur. Les données biométriques ne peuvent être utilisées à d’autres fins.
En revanche, la CNIL a refusé d’autoriser quatre traitements qui utilisaient les empreintes digitales dans le cadre de l’entreprise. Ces traitements avaient pour objet :
Le contrôle des accès. Dans ce cas la CNIL a considéré que cet objectif, s’il était légitime, n’était pas associé à des circonstances particulières justifiant la conservation des empreintes digitales des employés dans une base de données. Le traitement n’apparaissait ni proportionné ni adapté à l’objectif poursuivi.
Le contrôle des horaires. La CNIL a rappelé que l’objectif d’une meilleure gestion des temps de travail, s’il était légitime, ne justifiait pas en lui-même l’enregistrement dans un lecteur biométrique des empreintes digitales des salariés (CNIL, 12 janv. 2006). Voir Fasc. 4736, mise à jour n° 6.
Néanmoins, et compte tenu de l’utilisation croissante des dispositifs biométriques, la CNIL a adopté en avril 2006 trois procédures simplifiées d’autorisation relatives aux dispositifs :
de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire
de reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail
de reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail.
Par ailleurs, la CNIL a adopté le 30 septembre 2005, un nouvel avis concernant la biométrie dans les passeports et documents de voyage.
Ce texte exclut la constitution de toute base centrale contenant les données biométriques. La CNIL réclame un renforcement du contrôle de l’accès au fichier centralisé et note qu’en raison de l’interopérabilité des différents dispositifs électroniques, ces informations pourraient être employées à des fins de « reconnaissance automatisée » dans les pays étrangers. Dans cette hypothèse la CNIL serait impuissante à assurer la protection de la vie privée.
La CNIL devrait être saisie du projet de carte d’identité électronique susceptible de comporter la photographie et les empreintes digitales des personnes (L’homo informaticus entre servitude et liberté CNIL, 26e rapport d’activité 2005, p. 49 : www.cnil.fr).
Devant la « levée de boucliers » de nombreux acteurs militant pour la défense de la vie privée, il semble que ce projet dénommé « Ines » soit actuellement mis en sommeil.