Le consentement, une base légale… mais pas toujours suffisante
Le RGPD reconnaît le consentement comme l’une des six bases légales de traitement des données personnelles (art. 6).
En théorie, il pourrait sembler suffisant : si une personne accepte qu’on utilise ses données biométriques (ex. empreinte digitale, reconnaissance faciale), pourquoi cela poserait-il problème ?
En pratique, la réponse est plus nuancée. Les données biométriques appartiennent à la catégorie dite des données sensibles (art. 9 RGPD), qui bénéficient d’une protection renforcée. Leur traitement est, par principe, interdit — sauf exceptions strictement encadrées.
L’exemple des salariés et du contrôle d’accès par empreinte digitale
Imaginons une entreprise qui souhaite sécuriser ses locaux par un système de contrôle d’accès reposant sur l’empreinte digitale de ses salariés.
Même si tous les salariés déclaraient donner leur accord, ce consentement ne serait pas considéré comme libre et valable au sens du RGPD.
Pourquoi ? Parce que la relation employeur/salarié est une relation de subordination : le salarié n’est pas en mesure de refuser sans craindre une conséquence négative. Le consentement est alors présumé contraint.
La position de la CNIL : une approche restrictive
La CNIL rappelle que la biométrie doit rester une mesure exceptionnelle. Elle ne peut être utilisée que si aucune autre solution moins intrusive n’est possible pour atteindre l’objectif de sécurité.
Elle encadre notamment :
-
les systèmes de contrôle d’accès aux lieux de travail,
-
les dispositifs de pointage horaire biométriques,
-
la reconnaissance faciale dans les espaces publics.
Dans la majorité des cas, la CNIL privilégie des solutions alternatives : badges, mots de passe renforcés, authentification multifacteur.
Une étape incontournable : l’analyse d’impact (PIA)
Avant toute mise en place d’un dispositif biométrique, une analyse d’impact relative à la protection des données (AIPD/PIA) est obligatoire.
Elle permet d’évaluer :
-
la nécessité et la proportionnalité du dispositif,
-
les risques pour les droits et libertés des personnes,
-
les mesures de sécurité et de minimisation envisageables.
Ce n’est qu’à l’issue de cette analyse que l’entreprise pourra déterminer si le traitement est légalement et éthiquement justifiable.
Conclusion
Le consentement ne suffit pas à légitimer l’usage de la biométrie, en particulier en contexte professionnel.
Entre l’interdiction de principe posée par le RGPD et les restrictions fortes rappelées par la CNIL, toute organisation souhaitant recourir à la biométrie doit anticiper un parcours exigeant : justification stricte, alternatives explorées, PIA réalisée.
La biométrie peut être un outil puissant de sécurité, mais son usage reste l’exception, non la règle.
