La biométrie est une technique informatique consistant à identifier une personne à partir de ses caractéristiques physiques ou biologiques (empreintes digitales, iris, voix, etc.). Le recours à ces techniques vis-à-vis des salariés, notamment pour contrôle au lieu de travail, est étroitement encadré par la Commission nationale de l’informatique et des libertés (CNIL).
Jusqu’à présent, les normes établies par la CNIL reposaient sur la distinction entre les caractéristiques biométriques « à traces » (ex. : empreintes digitales, qui subsistent sur tous les supports que l’on a pu toucher, traces ADN) et celles dites « sans traces » (ex. : réseau veineux). Toutefois, la Commission a estimé que cette opposition n’était plus pertinente, compte tenu de l’évolution des technologies, qui permettent désormais de copier et de conserver n’importe quelle caractéristique biométrique.
La CNIL abroge et remplace en conséquence ses délibérations relatives à la mise en œuvre des dispositifs de contrôle d’accès biométrique sur les lieux de travail (délib. 2011-074, 2009-316, 2006-102 et 2012-322 abrogées) pour les remplacer par deux nouvelles délibérations, fondées sur une nouvelle distinction. Le degré d’exigence de la CNIL et le type d’autorisation unique à remplir par l’entreprise varient désormais selon que le dispositif :
–permet à la personne de conserver la maîtrise de son « gabarit » (c’est-à-dire l’échantillon biométrique qui sert de référence), soit parce qu’il est stocké sur un support qu’elle détient (carte à puce, clé USB), soit parce qu’il est intégré à une base de données inexploitable sans un « secret » (ex. : mot de passe) que, là encore, elle seule détient (délib. CNIL 2016-186 du 30 juin 2016, JO 27 septembre ; autorisation unique AU-052) ;
