«L'homo informaticus biomaîtrisé. » Dans son rapport d'activité 2005, présenté le 6 avril, la Commission nationale informatique et libertés (Cnil) évoque, en ces termes, l'essor de la biométrie, permettant de reconnaître un individu à partir de ses caractéristiques physiques ou biologiques. Entrée en vigueur il y a six mois, la nouvelle loi «informatique et libertés» d'août 2004 soumet à une autorisation préalable la mise en oeuvre de tout système biométrique de contrôle d'accès ou d'horaires des salariés : « Il faut se méfier des vendeurs d'appareils biométriques «agréés Cnil», prévient Alex Türk, président de la Commission. La biométrie n'est pas autorisée a priori. Dans tous les cas, il faut attendre notre autorisation avant de la mettre en place. »

Dans quels cas cette technologie est-elle autorisée ? Si les données biométriques sont centralisées dans une base, la Commission se montre très circonspecte. Même vigilance vis-à-vis de la reconnaissance des empreintes digitales : cette technique est dite «traçable», car les empreintes peuvent être récupérées à l'insu des personnes. La Commission considère que le stockage de données biométriques dans un fichier n'est acceptable qu'en présence d'un impératif de sécurité particulier, ou lorsqu'elles sont stockées sur un support individuel exclusivement détenu par l'utilisateur. Elle a ainsi autorisé le contrôle d'accès à des locaux sécurisés de La Poste ou à certaines zones d'aéroports.

Autre sujet sensible abordé : la géolocalisation des véhicules utilisés par des salariés. En attendant une définition précise des conditions d'utilisation de ce contrôle, la Cnil indique qu'il faut éviter une surveillance disproportionnée par rapport à son objectif : « Un système qui permet de contrôler les déplacements d'un employé pendant ses horaires de déjeuner pose un problème », illustre Alex Türk.

La Cnil doit aussi faire face à l'accroissement d'outils de mesure de la diversité permettant aux employeurs de connaître les origines raciales et sociales de leurs salariés ou candidats. En l'absence d'un référentiel national de typologies «ethno-raciales» qui établirait des comparaisons fiables, la Commission recommande aux entreprises de ne pas recueillir ces données.

Malgré des moyens d'action et de contrôle renforcés (sanctions pouvant aller jusqu'à l'amende, mise en place des correspondants informatique et libertés, augmentation de ses effectifs avec dix recrutements en 2006), la Cnil estime ses ressources encore sous-dimensionnées. « Si les contrôles sur le terrain ont augmenté de 113 % en 2005, ils sont très insuffisants », reconnaît Alex Türk. L'objectif de 600 contrôles annuels (contre une centaine actuellement) semble encore difficile à atteindre.