La CNIL autorise la biométrie dans la sécurité carcérale. Depuis la réforme de 2004 de la Loi Informatique et Libertés, les traitements biométriques doivent être expressément autorisés par la CNIL. Celle-ci a toujours été très réticente vis-à-vis de ces technologies très invasives et très risquées pour la vie privée.

Le projet Bioap, mis en oeuvre dans chaque prison au fur et à mesure de son déploiement, comprendre les données suivantes : nom de famille, nom d'usage, alias et prénoms ; numéro d'écrou ; une photographie d'identité numérisée ; un gabarit du contour de la main ; et un suivi des contrôles d'identification. La photographie ne fait pas l'objet d'un processus de reconnaissance automatique. De plus, le contour de la main est plus simple à mettre en oeuvre que le contrôle des empreintes digitales. Surtout, la CNIL a été sensible à la durée et aux modalités de conservation des données : chaque prison aura son propre traitement, et les données ne seront conservées que durant la détention effective dans la prison concernée. Elles seront détruites lors d'un transfert définitif ou d'une libération.

Les moyens mis en oeuvre sont donc compatibles et proportionnées avec les finalités déclarées.

Les restrictions apportées par la CNIL dans un projet relatif aux établissements pénitentiaires sont là pour rappeler aux entreprises privées qu'elles ne peuvent pas mettre en oeuvre des traitements plus invasifs vis à vis de personnes libres.