Pour la CNIL, un élément d'identification biométrique constitue une donnée à caractère personnel relevant de la loi "informatique et liberté".

La biométrie dans l'entreprise

La biométrie évite deux incidents fréquents :

• l'échange de badge, volontaire ou non : avec la biométrie, c'est l'individu, forcément unique, qui sert de badge d'accès ou de pointage. Dès lors, les erreurs ou les fraudes sont impossibles.
• la perte du badge : de fait, les pertes de temps provoquées se réduisent.

Déclaration auprès de la CNIL des systèmes biométriques

Depuis la réforme de la loi "Informatique et liberté" d'août 2004, les systèmes biométriques ne doivent plus seulement être déclarés auprès de la CNIL, mais bien faire l'objet d'une autorisation préalable.

Caractère proportionnel des procédures d'identification

La législation française est particulièrement sensible aux atteintes à la vie privée générées par les systèmes d'identification et de surveillance des espaces professionnels.
Conformément aux avis de la CNIL, il convient de ne pas mettre en oeuvre des systèmes d'identification des individus ou de surveillance des lieux de travail dont le niveau de détail n'est pas proportionnellement justifié par l'importance de la surveillance à mettre raisonnablement en place.
Cette position est également celle du Code du travail (art. L. 120-2, Loi du 31/12/1992 : Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.
A titre d'exemple, un système biométrique reconnaissant les empreintes ou l'iris des individus n'est pas souhaitable pour l'accès à un bâtiment ordinaire, mais peut se justifier pour une salle informatique.

Utilisation de la biométrie pour le contrôle de présence

Il peut sembler intéressant de faire appel à la biométrie pour éviter les fraudes lors des pointages et s'assurer ainsi qu'un salarié ne pointe pas pour un autre.
Dans sa délibération du 04-018 du 8/4/2004, la CNIL s'est prononcée contre l'usage d'une pointeuse biométrique contenant les empreintes digitales des salariés pour le contrôle des temps de travail lorsqu'il n'y a pas d'impératif particulier de sécurité (La Commission considère que l'objectif d'une meilleure gestion des temps de travail, s'il est légitime, ne paraît pas de nature à justifier l'enregistrement dans un lecteur biométrique des empreintes digitales des personnels du Centre hospitalier. Ainsi, le traitement pris dans son ensemble n'apparait-il ni adapté ni proportionné à l'objectif poursuivi.)
Le 19/4/2005, le TGI de Paris a confirmé cette interdiction de badgeage biométrique lorsque la sécurité n'entre pas en jeu, dans un dossier concernant une autre entreprise.

Systèmes individuels

Il existe désormais des badges (cartes à puces) capables de stocker des informations personnelles de nature biométrique.
Ces systèmes permettent, par exemple, de s'assurer que l'utilisateur d'un badge d'accès est bien son véritable titulaire.
Lorsque ces informations personnelles, comme les empreintes digitales, par exemple, sont stockées sur le badge de l'utilisateur et non dans un fichier centralisé, les risques d'atteinte aux droits individuels sont moindres. Leur emploi peut être envisagé beaucoup plus librement.

Choix du type de données biométriques

Il convient, en l'absence d'une justification particulière, de privilégier l'utilisation de données biométriques ne permettant pas une utilisation abusive après détournement de l'usage d'un fichier. Par exemple, on choisira le tracé de la main ou l'iris, plutôt que l'ADN ou les empreintes digitales.