La CNIL encadre strictement les conditions de recours à la biométrie sur le lieu de travail

Réunie en séance plénière du 8 avril 2004, la CNIL a confirmé qu'elle était défavorable à la création de bases de données d'empreintes digitales sur les lieux de travail (dispositif biométrique), en l'absence d'un impératif de sécurité incontestable comme la protection des inventions, la lutte contre l'espionnage industriel ou encore la lutte contre le terrorisme (notamment chimique et biologique). Par contre, elle n'est pas opposée à la mise en place de dispositifs biomètriques qui ne laissent pas de traces comme la reconnaissance du contour de la main ou de l'iris. Il en est de même des dispositifs pour lesquels le gabarit de l'empreinte digitale est uniquement stocké dans un support personnel, comme une carte à puce.
La Commission considère que "les empreintes digitales, à la différence d'autres données biométriques, laissent des traces qui peuvent être exploitées pour l'identification des personnes et que dès lors toute base de données d'empreintes digitales est susceptible d'être utilisée à des fins étrangères à sa finalité première. Seul un impératif de sécurité incontestable peut justifier la constitution de telles bases".
Par contre, "si le gabarit de l'empreinte digitale est uniquement stocké dans un support personnel (comme une carte à puce), le dispositif ne pose pas de difficultés au regard de la loi Informatique et Libertés. Il en est de même pour les dispositifs recourant aux biométries qui ne laissent pas de traces telles que la reconnaissance du contour de la main ou de l'iris".
S'agissant de la mise en oeuvre d'un contrôle d'accès aux zones réservées de sûreté des aéroports, comme celui d'Orly et de Roissy, reposant sur un système de reconnaissance de l'empreinte digitale, la Commission a rendu un avis favorable (délibération n°04-017). La conservation du gabarit biométrique se fait sur une carte d'accès individuelle, et non dans une base de données centralisée ou sur un lecteur biométrique, suivie par les Aéroports de Paris.
En revanche, la CNIL a délivré un avis défavorable à la mise en place, par un centre hospitalier, d'un dispositif de reconnaissance de l'empreinte digitale utilisé pour le contrôle des temps de travail dans la mesure où les données biométriques étaient stockées non pas sur un support individuel mais dans un lecteur biométrique sur lequel l'employé n'a aucune maîtrise (délibération n°04-018).
Le fait de vouloir éviter les contraintes liées à la gestion d'un badge magnétique et "l'objectif d'une meilleure gestion des temps de travail, s'il est légitime, ne paraissent pas de nature à justifier l'enregistrement dans un lecteur biométrique des empreintes digitales des personnels", estime la CNIL.