CNIL (Commission Nationale de l'Informatique et des Libertés) et la biométrie, Ce qu'il faut savoir

La biométrie et la cnil : Le contrôle d’accès biométrique sur les lieux de travail

La CNIL c'est quoi ?

Créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL est une autorité administrative indépendante chargée de veiller à la protection des données personnelles.

Pourquoi la CNIL est-elle essentielle pour la sécurité des données ?

La sécurité des données est aujourd'hui un enjeu stratégique, aussi bien pour les entreprises que pour les individus. Les cyberattaques, les violations de données ou les usages frauduleux sont autant de risques auxquels la CNIL répond en imposant des règles strictes.

1. Prévenir les violations de données

Les entreprises sont tenues de mettre en place des mesures techniques et organisationnelles pour protéger les informations collectées. La CNIL propose des outils et guides pratiques, comme son célèbre guide de la sécurité des données personnelles, pour aider les organisations à :

  • Identifier les données sensibles.
  • Limiter les accès non autorisés.
  • Prévenir les cyberattaques via des audits réguliers.

2. Garantir les droits des utilisateurs

La CNIL défend des droits fondamentaux pour les citoyens :

  • Le droit d’accès : connaître les informations détenues sur soi.
  • Le droit de rectification : corriger les données inexactes.
  • Le droit à l’oubli : demander la suppression de certaines données.

Ces droits permettent de redonner du pouvoir aux utilisateurs face aux abus de certaines entreprises.

3. Sanctionner les pratiques abusives

En cas de manquement grave, la CNIL peut infliger des sanctions financières, allant jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise. En 2023, plusieurs géants du numérique ont écopé d’amendes pour non-respect du RGPD.

Qu'est-ce qu'une autorisation unique ?

Avant l'entrée en vigueur du RGPD, la CNIL encadrait certains traitements de données personnelles sensibles ou présentant des risques élevés par le biais d'autorisations uniques. Ces décisions-cadres, appelées autorisations uniques, établissaient des règles précises pour des traitements ayant une finalité commune et impliquant les mêmes types de données et de destinataires.

Concrètement, si votre traitement correspondait aux critères définis dans l’une de ces autorisations, il suffisait d’effectuer une déclaration de conformité auprès de la CNIL. Cette procédure simplifiée permettait d’accélérer la mise en conformité des systèmes tout en garantissant un cadre légal strict.

Faciliter l’utilisation des lecteurs biométriques

Dans le domaine de la biométrie, la CNIL avait mis en place plusieurs autorisations uniques pour réguler l’utilisation de dispositifs tels que les lecteurs biométriques. Ces décisions visaient à simplifier les démarches administratives tout en s’assurant que les données biométriques étaient manipulées en toute sécurité.

Réglementation stricte pour les données biométriques

Il est essentiel de noter que tous les traitements impliquant des données biométriques devaient obtenir une autorisation préalable de la CNIL. À ce jour, aucun dispositif biométrique n’a reçu de « label CNIL » ou d’agrément automatique. Cela signifie que chaque traitement devait être examiné avec soin, et les entreprises étaient responsables de leur conformité aux règles établies.

Important : Toute autorisation unique doit être lue attentivement. L’entreprise ou l’organisation qui s’y réfère doit respecter l’ensemble des critères énoncés dans le texte de l’autorisation pour garantir une conformité totale.

La sécurité des données est aujourd'hui un enjeu stratégique, aussi bien pour les entreprises que pour les individus. Les cyberattaques, les violations de données ou les usages frauduleux sont autant de risques auxquels la CNIL répond en imposant des règles strictes.

Contrôle d'accès et biométrie : Autorisation unique AU-052

Délibération n° 2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-052)

Voir le texte complet sur Legifrance : Autorisation unique AU052

Contrôle d'accès et biométrie : Autorisation unique AU-053

Délibération n° 2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053)

Voir le texte complet sur Legifrance : Autorisation unique AU053

Biométrie : accès aux cantines scolaires : Autorisation unique AU-009

Délibération n°2006-103 du 27 avril 2006 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire.

Voir le texte complet sur Legifrance : Autorisation unique AU009

Contrôle d'accès et gestion du temps par badges d'identification : Norme Simplifiée NS-042

Délibération n°02-001 du 08 janvier 2002 concernant les traitements automatisés d'informations nominatives relatifs mis en oeuvre sur les lieux de travail pour la gestion des contrôles d'accès aux locaux, des horaires et de la restauration

Voir le texte complet sur Legifrance : Norme Simplifié NS042
Extrait du site de la CNIL sur la biométrie sur les lieux de travail

Comment être en conformité avec la CNIL avec la biométrie ?


Étape 1 : Justifier le besoin d’un dispositif biométrique

Cette étape permet de justifier de l’utilité de lecteurs biométriques plutôt qu’un lecteur de badges par exemple. La sensibilité des locaux à protéger et/ou le risque à la personne doivent être ici démontrés.



Étape 2 : Garantir la maîtrise du gabarit

Le présent règlement distingue trois types de détention de gabarits biométriques, selon le degré de maîtrise exercé par les personnes concernées sur le support de conservation.

Type 1 : les gabarits sous maîtrise des personnes concernées sont ceux dont le seul support de stockage durable est détenu par la personne elle-même, par exemple sous forme de badge ou de carte à puce ;


Type 2 : les gabarits sous maîtrise partagée sont ceux dont le support de stockage durable est maîtrisé par l’employeur ou ses préposés, mais qui sont conservés sous une forme les rendant inexploitables sans l’utilisation d’un secret détenu par la personne concernée ;

Type 3 : les gabarits non maîtrisés par les personnes concernées sont ceux dont le support de stockage durable est maîtrisé par l’employeur ou ses préposés sous une forme exploitable ne nécessitant ni badge (contenant le gabarit) ni utilisation d’un secret maîtrisé par la personne concernée.

Dans nos offres, nous privilégions les solutions biométriques de type 1 où les données biométriques sont stockées sur un badge utilisateur individuel (type Mifare ou DESFire).


Étape 4 : Justifier et documenter le choix effectué

Effectuer une analyse d’impact relative à la protection des données ;

Préciser et justifier le choix des caractéristiques du dispositif, ainsi que la nécessité de recourir au traitement des données biométriques ;

Respecter l’ensemble des dispositions du règlement type ;

Le cas échéant, informer ou consulter les instances représentatives du personnel.



Les textes de loi évoluent souvent rapidement, nous vous conseillons de vous tenir informés directement auprès de la CNIL. Plus d’informations sur www.cnil.fr.

Que disait la CNIL avant le 30 juin 2016 sur la biométrie

Le 30 juin 2016, la CNIL a adopté deux autorisations uniques qui encadrent désormais l’ensemble des dispositifs de contrôle d’accès biométrique sur les lieux de travail, quels que soient les types de biométries utilisés. Elles abrogent les autorisations uniques AU-007, AU-008, AU-019, AU-027.

Autorisation Unique AU-007

Délibération n° 2012-322 du 20 septembre 2012 portant autorisation unique pour des traitements utilisant la reconnaissance du contour de la main, visant le contrôle d'accès et la gestion de la restauration sur les lieux de travail (AU-007).

Plus d'informations sur l'Autorisation Unique AU-007

Autorisation Unique AU-008

Cette autorisation concerne les dispositifs biométriques utilisant la reconnaissance des empreintes digitales pour le contrôle d'accès aux locaux sur les lieux de travail (AU-008).

Plus d'informations sur l'Autorisation Unique AU-008

Autorisation Unique AU-019

Délibération n° 2009-316 du 7 mai 2009, encadrant l'utilisation de dispositifs biométriques basés sur la reconnaissance du réseau veineux des doigts pour le contrôle d'accès aux locaux professionnels (AU-019).

Plus d'informations sur l'Autorisation Unique AU-019
Pascal Lentes

Pascal Lentes

Président chez ABIOVA SAS

Expert en biométrie avec plus de 20 ans d’expérience dans les solutions de sécurité innovantes.

Suivre sur LinkedIn

Questions fréquentes sur la CNIL et la biométrie

Quelles sont les missions principales de la CNIL ?
  • Informer et conseiller les entreprises et particuliers.
  • Encadrer l’utilisation des données personnelles.
  • Sanctionner les abus en matière de protection des données.
  • Accompagner les évolutions technologiques tout en garantissant les droits des utilisateurs.
Elle protège les droits des individus en matière de confidentialité, garantit un cadre légal pour les entreprises et agit comme un rempart contre les abus ou violations de données.
Les données biométriques sont des informations biologiques uniques permettant d'identifier une personne, comme les empreintes digitales, la reconnaissance faciale ou la reconnaissance du réseau veineux.
La CNIL peut infliger des sanctions financières allant jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise, ainsi que des amendes spécifiques en cas de non-respect du RGPD.
C’est une représentation numérique des caractéristiques biométriques d’une personne, comme un modèle mathématique des empreintes digitales.
  • Type 1 : Stockage sous maîtrise exclusive de l’utilisateur (badge ou carte).
  • Type 2 : Stockage partagé entre l’utilisateur et l’employeur.
  • Type 3 : Stockage centralisé sous maîtrise de l’employeur.