Se connecter
logiciel rgpd
  1. 1 - 1. Ce n’est pas la donnée qui est biométrique, c’est ce qu’on en fait 
    1. 2 - 2. Vous en traitez peut-être sans le savoir 
      1. 3 - 3. C’est une donnée interdite… par défaut 
        1. 4 - 4. Une donnée biométrique, ça ne s’oublie pas 
          1. 5 - 5. Le RGPD ne répond pas à tout 
            1. 6 - La table ronde pour y voir plus clair

              5 vérités que vous ignorez (peut-être) sur les données biométriques

              RGPDMay 12, 2025

              Un peu d'histoire

              Bien avant d’atterrir dans nos téléphones ou nos systèmes de sécurité, la biométrie existait déjà — dans une forme rudimentaire, mais éminemment humaine. Dans l’Antiquité, on utilisait les empreintes de main comme preuve d’identité.

              C’est au XIXe siècle que la biométrie bascule dans la science. En 1879, le Français Alphonse Bertillon invente l’anthropométrie : un système d’identification basé sur les mesures du corps humain — taille du crâne, longueur des bras, largeur du pied…
              Une vraie révolution à l’époque, jusqu’à ce que les empreintes digitales prennent le relais au XXe siècle.

              Depuis ? C’est l’ascension fulgurante. Voix, iris, reconnaissance faciale… La biométrie est devenue à la fois accessible, rentable et omniprésente — dans nos vies pro comme perso.

              Mais derrière cette facilité d’usage, une réalité bien plus complexe se dessine — à la croisée du droit, de la sécurité… et de l’éthique.

              Entre idées reçues, flous juridiques et faux sentiment de sécurité, voici 5 faits que vous ne saviez (peut-être) pas sur les données biométriques.

              C’est parti.

              1. Ce n’est pas la donnée qui est biométrique, c’est ce qu’on en fait 

              Selon le RGPD (article 4.14), une donnée biométrique est une donnée personnelle issue d’un traitement technique spécifique, appliqué à une caractéristique physique, physiologique ou comportementale, dans le but d’identifier une personne de façon unique

              Donc : 

              • Une photo sur un trombinoscope ? Pas biométrique. 

              • Une photo utilisée pour de la reconnaissance faciale ? Biométrique. 

              • Une empreinte prise à l’encre ? Pas biométrique. 

              • Une empreinte scannée et stockée ? Biométrique. 

              À retenir : c’est le traitement et sa finalité qui déclenchent le régime juridique biométrique. Pas la donnée brute. 

              Et une fois qu’on entre dans cette catégorie… le niveau d’exigence monte d’un cran. 

              2. Vous en traitez peut-être sans le savoir 

              Vous pensez ne pas collecter de données biométriques ? Vous pourriez passer à côté sans le vouloir. 

              Cas qu’on rencontre souvent

              • Badges à empreinte digitale ou palmaire dans l’industrie 

              • Outils RH ou cybersécurité qui analysent la frappe au clavier 

              • Reconnaissance vocale pour authentifier un appel 

              • Caméras “intelligentes” avec analyse du visage 

              • Montres connectées utilisées à des fins de prévention (stress, fatigue, rythme cardiaque) 

              Et parfois, c’est encore plus subtil : une donnée biométrique sans finalité d’identification ne relève pas toujours de l’article 9. Mais au moindre changement d’usage… tout peut basculer. 

              À retenir : documenter précisément les finalités est indispensable. Et garder son registre à jour, encore plus. 

              3. C’est une donnée interdite… par défaut 

              C’est l’un des rares cas où le RGPD est très clair : les données biométriques sont interdites en principe (article 9.1), sauf si vous entrez dans une exception de l’article 9.2. 

              Exceptions possibles : 

              • Consentement explicite 

              • Intérêt public 

              • Obligation légale ou réglementaire (droit du travail, sécurité) 

              Mais ces bases sont strictement encadrées, et pas toujours valables dans un cadre professionnel. 

              Et dans la plupart des cas, une AIPD (analyse d’impact) est exigée. Pourquoi ? Parce que ces traitements : 

              • sont sensibles, 

              • concernent des personnes vulnérables (ex : salariés), 

              • utilisent des technologies innovantes, 

              • peuvent être intrusifs ou disproportionnés. 

              En résumé : même quand c’est possible, il faut le justifier, l’encadrer, et le sécuriser

              4. Une donnée biométrique, ça ne s’oublie pas 

              Un mot de passe se réinitialise. Une carte d’accès se désactive. Mais une empreinte compromise ? Un visage cloné ? Une voix piratée ? Impossible à changer. 

              C’est l’un des grands enjeux en cybersécurité : l’irréversibilité

              C'est pour cela que la CNIL recommande de privilégier des dispositifs où la donnée biométrique reste sous le contrôle exclusif de la personne concernée — autrement dit, l’usager lui-même : salarié, client, passager…
              Pas l’entreprise. Pas un serveur central. Pas un prestataire.

              Pourquoi ?
              Parce qu’un badge, un téléphone ou une carte que seule la personne détient limite considérablement les risques.

              5. Le RGPD ne répond pas à tout 

              On aimerait que le RGPD suffise. Mais la réalité, c’est qu’il laisse beaucoup de zones grises

              • Il ne définit pas clairement les usages acceptables 

              • Il ne résout pas les biais technologiques (ex : IA qui reconnaît mieux certains visages que d’autres) 

              • Il encadre mal les finalités prédictives ou comportementales 

              • Il ne donne pas de réponse claire en cas de conflit entre sécurité, innovation et droits fondamentaux 

              Exemple
              Un système qui détecte le stress d’un salarié via sa montre connectée, dans une logique de “prévention des risques”... Éthique ? Proportionné ? Conforme ? Justifiable en cas de contrôle ? Rien n’est évident. 

              Ces questions dépassent la seule lecture juridique. Elles appellent une réflexion croisée entre RGPD, sécurité et éthique. 

              La table ronde pour y voir plus clair

              Reconnaissance faciale, empreintes digitales, voix, iris… 
              Les technologies biométriques se déploient partout — parfois sans qu’on s’en aperçoive. 

              Elles promettent plus de sécurité, de fluidité, d’efficacité. 

              Mais derrière ces promesses se cache une réalité bien plus complexe : ces données, par nature sensibles, peuvent autant protéger… qu’exposer. 

              Ce paradoxe fait de chaque projet biométrique un véritable défi, soulevant des questions majeures :

              • Comment garantir la conformité au RGPD ?

              • Comment prévenir les dérives éthiques et encadrer les usages à risque ?

              • Quels choix techniques pour sécuriser ces données et limiter les failles ?

              Nous avons réuni trois experts aux visions complémentaires pour décrypter ensemble les grands défis liés à la biométrie. Leur objectif ? 

              Vous aider à poser les bons repères, anticiper les risques et faire des choix éclairés, dans une approche responsable, conforme et maîtrisée. 

              Rendez-vous le 12 juin à 11hréservez votre place dès maintenant !

               

              Benjamin BarattaWitik - Expert RGPD & CSM

              La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

              Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

              Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

              • All rights reserved ©Witik 2025