Le 12 mai 2011, la CNIL a autorisé pour la première fois le recours à un dispositif biométrique reposant sur la reconnaissance combinée de l'empreinte digitale et du réseau veineux des doigts de la main. Ce système est utilisé pour contrôler l'accès aux locaux sur les lieux de travail.
Pour la première fois, La Commission s'est prononcée sur une demande d'autorisation relative à un dispositif de contrôle d'accès sur les lieux de travail recourant, de manière quasi-simultanée, à deux biométries : l'empreinte digitale et le réseau veineux du doigt de la main.
La Commission a accordé une attention particulière aux garanties apportées par ce nouveau dispositif.
Ainsi elle a estimé, qu'en l'état actuel de la technique, le risque d'usurpation d'identité était traité de manière appropriée par la combinaison des deux biométries. Car si une empreinte digitale peut être reproduite à l'insu de la personne concernée, le réseau veineux des doigts de la main ne peut pas l'être.. Dès lors, la finalité du contrôle d'accès, qui est de s'assurer que c'est bien la personne autorisée qui accède aux locaux, est satisfaite.
De plus, la Commission a constaté que le dispositif présenté permettait de limiter, de manière significative, le risque de détournement de finalité grâce à de nombreuses mesures de sécurité. Ces mesures sont les suivantes : stockage des données dans le lecteur biométrique, et non sur un serveur, chiffrement dit "fort" avec une clé spécifique à chaque lecteur, protection physique des composants, système de signalement de toute tentative d'accès au lecteur.
La Commission rappelle que seule l'entreprise qui a sollicité l'autorisation peut s'en prévaloir. Les organismes qui souhaiteraient avoir recours à ce dispositif doivent lui adresser une demande d'autorisation spécifique.
