C'est une piqûre de rappel salutaire. Dix ans après avoir examiné son dispositif biométrique « avec enregistrement des empreintes digitales dans une base de données », la Cnil met en ligne un guide grand public pour préciser aux salariés, aux administrations, et aux entreprises, les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs de reconnaissance des empreintes digitales, avec stockage sur un terminal de lecture-comparaison et sur un serveur.

En 2007, sur les 602 dossiers de traitement biométrique examinés par la Cnil, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données. Au final 21 ont été refusés et 32 autorisés. Avant de prendre une quelconque décision, la Cnil, qui dispose en la matière d'un pouvoir d'autorisation expresse, examine attentivement les quatre conditions suivantes.

Tout d'abord : quelle est la finalité du dispositif biométrique ? Pour la Commission, celui-ci doit en tout état de cause être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant un enjeu majeur et dépassant l'intérêt strict de l'organisme (accès à une centrale nucléaire, à une cellule de production de vaccins...).

Deuxièmement : la Cnil va vérifier si la proportionnalité de la mesure est raisonnable. L'idée est de savoir si le système proposé est bien adapté à la finalité de l'opération, eu égard aux risques qu'il comporte en matière de protection des données personnelles. La sécurité (authentification et identification fiable de personnes) arrive logiquement en troisième position. Et enfin la Cnil souligne la nécessaire information des personnes concernées dans le respect de la loi informatique et libertés de 2004.