Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
RGPD

Données biométriques RGPD : le guide de conformité 2026

Empreinte, reconnaissance faciale, contrôle d'accès : les données biométriques sont des données sensibles. Règles CNIL, AIPD et base légale expliquées.

En octobre 2022, la CNIL a infligé 20 millions d’euros d’amende à Clearview AI pour avoir constitué une base de données de reconnaissance faciale sans base légale. Le message est clair : la biométrie n’est pas une technologie comme les autres. Dès qu’une empreinte digitale, un visage ou une voix sert à identifier une personne, on bascule dans le régime le plus strict du RGPD. Voici ce qu’il faut comprendre — et ce qu’il faut faire avant de déployer le moindre lecteur d’empreinte.

Qu’est-ce qu’une donnée biométrique au sens du RGPD ?

L’article 4(14) du RGPD définit les données biométriques comme « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique ». Trois familles de caractéristiques sont visées : les caractéristiques physiques (empreinte digitale, forme du visage, réseau veineux, iris), physiologiques (ADN, dans certains usages) et comportementales (dynamique de frappe au clavier, démarche, signature manuscrite dynamique).

Un point est souvent mal compris. Une photographie n’est pas, en soi, une donnée biométrique. Elle ne le devient que lorsqu’elle est traitée par un dispositif technique qui en extrait un gabarit permettant l’identification unique — par exemple un algorithme de reconnaissance faciale. C’est le « traitement technique spécifique » qui fait basculer une image ordinaire dans la catégorie biométrique. Le considérant 51 du RGPD le confirme : les photographies ne relèvent du régime des données sensibles que lorsqu’elles sont traitées par des moyens techniques permettant l’identification ou l’authentification.

Cette nuance a des conséquences pratiques directes : gérer un trombinoscope interne n’active pas le régime biométrique, mais coupler ces photos à un logiciel de reconnaissance faciale, oui.

Pourquoi la biométrie relève du régime des données sensibles

C’est le cœur du sujet. Lorsqu’une donnée biométrique est traitée « aux fins d’identifier une personne physique de manière unique », elle devient une donnée sensible au sens de l’article 9(1) du RGPD. Or l’article 9(1) pose une interdiction de principe : le traitement de ces catégories particulières de données est en principe interdit.

Il faut donc lever cette interdiction en s’appuyant sur l’une des dix exceptions de l’article 9(2), et, en plus, disposer d’une base légale valable au titre de l’article 6. Les deux conditions se cumulent : ce n’est pas parce qu’on a recueilli un consentement que l’interdiction de l’article 9 est levée, et inversement. C’est ce double verrou qui rend la biométrie juridiquement exigeante.

La distinction entre identification et authentification est ici importante, même si le RGPD ne la formalise pas explicitement :

  • L’identification répond à la question « qui êtes-vous ? » : le système compare un gabarit à l’ensemble d’une base (comparaison 1:N). C’est le cas de la reconnaissance faciale en espace public.
  • L’authentification (ou vérification) répond à « êtes-vous bien celui que vous prétendez être ? » : le système compare le gabarit présenté à un seul gabarit de référence (comparaison 1:1). C’est le cas d’un déverrouillage par empreinte.

Dans les deux cas, dès lors que la finalité est d’identifier de façon unique, le régime de l’article 9 s’applique. La CNIL considère de longue date que l’authentification biométrique reste soumise au régime des données sensibles.

La biométrie sur les lieux de travail : le règlement type de la CNIL

C’est le cas d’usage le plus fréquent en entreprise : contrôle d’accès aux locaux, aux salles serveurs, aux applications ou aux postes de travail. Sur ce terrain, la CNIL a adopté un cadre contraignant.

Par sa délibération n° 2019-001 du 10 janvier 2019, la CNIL a publié un règlement type encadrant la mise en œuvre de dispositifs biométriques de contrôle d’accès aux locaux, aux appareils et aux applications informatiques sur les lieux de travail. Contrairement à un simple guide de bonnes pratiques, ce règlement type est juridiquement contraignant : un employeur qui souhaite déployer un dispositif biométrique dans ce champ doit le respecter. À défaut, le traitement est illicite.

Les obligations posées par le règlement type

Le règlement type impose à l’employeur plusieurs exigences cumulatives.

D’abord, une justification circonstanciée du recours à la biométrie. L’employeur doit démontrer, au regard du contexte, des enjeux et des contraintes, pourquoi un badge, un code ou une clé ne suffisent pas. La biométrie doit répondre à un besoin spécifique de sécurité qu’aucun autre moyen moins intrusif ne permet de satisfaire. Ce raisonnement est l’application directe du principe de minimisation.

Ensuite, des exigences renforcées de sécurité technique et organisationnelle, ainsi qu’une obligation de documenter les choix opérés. C’est ici que se joue la conformité à l’article 32 du RGPD sur la sécurité du traitement.

Enfin, et c’est un point structurant, la CNIL impose de privilégier le stockage du gabarit sur un support individuel détenu par la personne (par exemple une carte à puce que le salarié conserve), plutôt que dans une base de données centralisée. Le stockage centralisé n’est admis que si l’employeur justifie de manière étayée d’un besoin spécifique. La logique est simple : un gabarit qui reste sous le contrôle physique de la personne réduit considérablement le risque en cas de fuite.

Le point souvent oublié : contrôle des horaires et de la présence

La CNIL considère que l’utilisation de la biométrie à des fins de contrôle de la présence ou du temps de travail des employés est en principe disproportionnée. Autrement dit, remplacer une pointeuse à badge par un lecteur d’empreinte pour comptabiliser les heures est presque toujours excessif. Ce type d’usage doit rester réservé à des situations exceptionnelles, dûment justifiées. Un dirigeant de PME qui envisage un « pointage par empreinte » pour fiabiliser les horaires devrait, dans la quasi-totalité des cas, y renoncer.

Les étapes de mise en conformité d’un projet biométrique

Dans mon expérience de conseil auprès d’entreprises déployant des dispositifs de contrôle d’accès, la conformité biométrique se joue en amont, avant tout achat de matériel. Voici la séquence à respecter.

1. Vérifier la nécessité et la proportionnalité. Au regard de l’article L.1121-1 du Code du travail, toute restriction aux libertés des salariés doit être justifiée par la nature de la tâche et proportionnée au but recherché. Posez-vous la question : un badge RFID ou un code suffirait-il ? Si oui, la biométrie est probablement disproportionnée.

2. Réaliser une analyse d’impact (AIPD). Le traitement de données biométriques figure sur la liste des traitements pour lesquels la CNIL impose une analyse d’impact relative à la protection des données au titre de l’article 35 du RGPD. L’AIPD n’est pas une formalité : elle documente les risques et les mesures, et conditionne la licéité du projet. C’est l’un des rares cas où l’AIPD est quasi systématiquement obligatoire.

3. Choisir la base légale et l’exception de l’article 9. En contexte professionnel, le consentement du salarié est rarement une base valable en raison du déséquilibre de subordination — la CNIL et le CEPD l’ont rappelé à plusieurs reprises. C’est précisément pourquoi le règlement type sert de cadre de référence. En dehors du travail (clients, usagers), le consentement explicite de l’article 9(2)(a) peut être mobilisé, à condition qu’il soit libre, ce qui suppose une alternative non biométrique réelle.

4. Documenter et sécuriser. Inscrire le traitement au registre des activités de traitement, formaliser les mesures de sécurité, privilégier le stockage décentralisé du gabarit, définir une durée de conservation stricte et prévoir la suppression des gabarits au départ de la personne.

5. Informer et consulter. Informer les personnes concernées conformément aux articles 12 à 14 du RGPD et, dans l’entreprise, consulter le comité social et économique (CSE) au titre de l’article L.2312-38 du Code du travail avant tout déploiement.

Reconnaissance faciale et AI Act : le nouveau front réglementaire

La biométrie ne relève plus seulement du RGPD. Le règlement européen sur l’intelligence artificielle (AI Act) ajoute une couche de contraintes pour les systèmes biométriques fondés sur l’IA.

Les systèmes d’identification biométrique à distance en temps réel dans les espaces accessibles au public, à des fins répressives, font partie des pratiques d’IA interdites par l’article 5 de l’AI Act, sous réserve d’exceptions très encadrées. De même, la constitution de bases de reconnaissance faciale par moissonnage non ciblé d’images sur Internet — exactement le modèle sanctionné chez Clearview AI — est prohibée.

Par ailleurs, la plupart des systèmes d’identification biométrique et de catégorisation biométrique sont classés à haut risque par l’AI Act, ce qui déclenche des obligations de conformité lourdes (gestion des risques, documentation technique, surveillance humaine). Une entreprise qui déploie de la reconnaissance faciale doit donc mener une double analyse : conformité RGPD et conformité AI Act. Les deux régimes se cumulent sans se substituer.

Ce que risque une entreprise non conforme

La sanction de référence reste Clearview AI, condamnée à 20 millions d’euros par la CNIL en octobre 2022. La Commission avait relevé un traitement illicite pour absence de base légale (manquement à l’article 6), le caractère sensible des données biométriques en cause et l’absence de prise en compte effective des droits des personnes. L’entreprise a d’ailleurs été sanctionnée de façon convergente en Italie et en Grèce, signe d’une doctrine européenne homogène.

Au-delà du montant, le risque le plus concret pour une PME n’est pas l’amende maximale mais l’injonction de cesser le traitement : un dispositif biométrique jugé disproportionné doit être démantelé, avec tout ce que cela implique de coûts déjà engagés. C’est pourquoi l’analyse de proportionnalité en amont est le meilleur investissement de conformité. Pour un panorama des montants et des critères de graduation, voir notre analyse des sanctions RGPD.

Ce qu’il faut retenir

  • Une donnée biométrique devient une donnée sensible (article 9 RGPD) dès qu’elle est traitée pour identifier une personne de manière unique — l’interdiction de principe s’applique alors.
  • Il faut cumuler une exception de l’article 9(2) et une base légale de l’article 6 : recueillir un consentement ne suffit pas à lui seul en contexte professionnel.
  • Sur le lieu de travail, le règlement type CNIL (délibération n° 2019-001) est contraignant : justification circonstanciée, stockage du gabarit sur support individuel, sécurité renforcée.
  • La biométrie pour contrôler les horaires ou la présence est en principe disproportionnée et doit être écartée.
  • Une AIPD est quasi systématiquement obligatoire, et la reconnaissance faciale par IA ajoute les obligations de l’AI Act (pratiques interdites, classement haut risque).

FAQ

Une empreinte digitale stockée uniquement sur le smartphone de l’employé est-elle concernée ?

Le déverrouillage d’un téléphone personnel par empreinte relève d’un traitement effectué par la personne pour son usage domestique, hors du champ du règlement type employeur. En revanche, dès qu’un dispositif professionnel exploite l’empreinte pour contrôler l’accès aux locaux ou aux applications de l’entreprise, le régime des données sensibles et le règlement type CNIL s’appliquent pleinement.

Peut-on se contenter du consentement du salarié pour installer un lecteur biométrique ?

Non, dans la très grande majorité des cas. En raison du lien de subordination, la CNIL et le CEPD considèrent que le consentement d’un salarié n’est généralement pas « libre » et ne constitue donc pas une base valable. C’est précisément la raison d’être du règlement type, qui fournit un cadre de licéité indépendant du consentement.

Faut-il toujours réaliser une AIPD pour un projet biométrique ?

Dans les faits, presque toujours. Le traitement de données biométriques pour identifier des personnes figure parmi les traitements pour lesquels la CNIL impose une analyse d’impact au titre de l’article 35 du RGPD. Réaliser l’AIPD avant tout déploiement est à la fois une obligation et le meilleur moyen de sécuriser juridiquement le projet.

Quelle différence entre biométrie et reconnaissance faciale ?

La reconnaissance faciale est une forme de biométrie qui utilise les caractéristiques du visage. Toutes les données biométriques ne sont pas de la reconnaissance faciale (empreinte, iris, voix en sont d’autres), mais toute reconnaissance faciale destinée à identifier une personne produit des données biométriques sensibles, avec en plus les contraintes de l’AI Act lorsqu’elle repose sur un système d’IA.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →