La biométrie a vu ses technologies profondément évoluer au cours des dernières années. En particulier, la distinction entre « biométrie à traces » (empreintes digitales par exemple) et « biométrie sans traces » n'a plus beaucoup de sens devant le développement de technologies comme la reconnaissance faciale. La CNIL a donc voulu faire évoluer ses règles sur le contrôle d'accès biométrique.

Les quatre « autorisations uniques » qui régissaient le contrôle d'accès biométrique ont donc été abrogées et remplacées par deux nouvelles. Les entreprises ayant recours à ces dispositions doivent se mettre en conformité avec les nouvelles règles avant mai 2018. Désormais, la seule distinction réside sur le type de stockage des données biométriques, selon que les personnes concernées conservent seules le contrôle du stockage de ces données (sur la carte d'accès elle-même par exemple) ou non (avec mémorisation sur un système détenu par les gestionnaires de l'accès, bornes ou système central).

La biométrie doit rester exceptionnelle

Ces deux nouvelles autorisations uniques et l'abrogation des quatre anciennes ont été décidées lors de la réunion du 30 juin 2016 de la CNIL. Leurs textes complets viennent d'être publiés. Rappelons que les autorisations uniques sont les formes simplifiées de la démarche de la « demande d'autorisation » : dans ce cas, l'entreprise demandeuse doit s'engager à respecter le cadre décrit dans une autorisation unique, ce qui simplifie la procédure de demande d'autorisation auprès de la CNIL.

La Commission nationale de l'informatique et des libertés reste cependant extrêmement méfiante pour ne pas dire réticente à l'usage de la biométrie. Dans sa communication, elle insiste sur le besoin de bien réfléchir à la nécessité de justifier son emploi à la place, par exemple, de badges RFID à simple identifiant numérique. Les deux récentes autorisations uniques comportent donc notamment des règles sur les études préalables d'impact et la nécessaire justification de l'usage de la biométrie.