Saisie pour avis, la CNIL vient de mettre à nouveau son nez dans le secteur de la biométrie. Elle a ainsi autorisé mi-janvier 2006, deux dispositifs de contrôle d’accès à des cantines de lycée, reposant sur la reconnaissance du contour de la main. En revanche, elle a refusé d’autoriser quatre traitements de contrôle d’accès et de gestion des horaires reposant sur la reconnaissance des empreintes digitales parce qu’ils n’étaient motivés par aucun impératif particulier de sécurité.

Pourquoi un tel double traitement ? La Commission Nationale de l'Informatique et des Libertés explique qu’elle fait le distinguo entre la biométrie « à traces » et la biométrie « sans traces ». Tout dépend ici si l'on a, ou pas, la possibilité de récupérer une donnée biométrique à l’insu de la personne et des réutilisations possibles.

Ainsi, le contour de la main fait partie de la biométrie « sans traces » puisqu’elle ne peut pas être utilisée à d’autres fins, hors la présence de la personne. Elle suppose en pratique la comparaison de l'empreinte avec "l'image" stockée sur une carte magnétique et « ne soulève [donc] pas de difficultés au regard des règles de protection des données ». Six établissements scolaires utilisent auourd'hui ce procédé de contrôle d’accès, et ce n’est sûrement qu’un début. En guise de garanties, les parents d’élèves doivent être individuellement informés de la mise en œuvre et des modalités du système et en toute évidence, ils peuvent toujours refuser l’informatisation des données biométriques de leur(s) enfant(s). Au lycée de prévoir un plan B.

Dans le cas des biométries « à traces », la Commission range les empreintes digitales. Ainsi, le traitement sous une forme automatisée et centralisée des empreintes est refusé. Pourquoi ? En raison des caractéristiques de l’empreinte, des usages possibles de ces traitements et des risques d’atteintes graves à la vie privées, explique-t-on. Ce traitement sera accepté avec un contrôle de proportionnalité, et seulement dans le cadre « d’exigences impérieuses en matière de sécurité ou d’ordre public. » On pense par exemple aux titres d’identités. La Commission a donc refusé trois contrôles d’accès basés sur l’empreinte digitale car « aucune circonstance particulière [ne justifiait] la conservation dans une base de données des empreintes des employés. » La Commission a, de même, rejeté un dispositif de contrôle des horaires dans une clinique, reposant sur le traitement des empreintes digitales, dans une base de données. Pour la CNIL, « l'objectif d’une meilleure gestion des temps de travail, s’il est légitime, ne justifie pas, en lui-même, l’enregistrement dans un lecteur biométrique des gabarits des empreintes digitales des employés. »