Depuis 10 ans, les demandes d'autorisation auprès de la Cnil n'ont cessé d'augmenter. Sur 602 traitements biométriques examinés en 2007, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de ces dernières dans une base de données. 21 ont été refusés et 32 autorisés pour des décisions motivées hormis l'impératif de sécurité en lui-même, par quatre critères.
Finalité du dispositif
Le dispositif de reconnaissance par empreinte digitale doit être limité au contrôle d'accès d'un nombre restreint de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme (accès à une centrale nucléaire, à une cellule de production de vaccins ou à un site Seveso II).
Proportionnalité du dispositif
La Cnil va estimer si le système proposé est adapté à sa finalité eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel.
Sécurité
Le dispositif doit permettre une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données.
L'information des personnes concernées
La mise en place du dispositif doit se faire dans le respect de la loi informatique et libertés et, le cas échéant, dans celui du Code du travail.
L'ensemble de ces points et questions à se poser avant de constituer un dossier à soumettre à la Cnil, est développé dans le guide disponible à cette adresse.
