La loi n°2018-493 du 20 juin 2018 relative la protection des données personnelles a confié à la CNIL la mission d’établir et de publier des « règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ». Par délibération du 10 janvier 2019 publiée au JO le 28 mars, la CNIL a adopté un règlement type dont le respect s’impose à tout employeur qui souhaite mettre en place un dispositif biométrique pour contrôler l’accès aux locaux, ainsi qu’aux appareils et aux applications informatiques professionnels. Dans le cadre de ce règlement, le recours à la biométrie n’est autorisé que dans deux cas : pour contrôler l’accès aux locaux limitativement identifiés par l’employeur comme devant faire l’objet d’une restriction de circulation et pour contrôler l’accès aux appareils et applications informatiques professionnels qui doivent également être limitativement identifiés par l’employeur. En outre, le responsable de traitement doit démontrer la nécessité de recourir à un traitement de données biométriques, en précisant les raisons pour lesquelles le recours à d’autres dispositifs d’identification ne permettrait pas d’atteindre le niveau de sécurité exigé. Le dispositif de contrôle d’accès biométrique ne peut comporter que les données à caractère personnel suivantes : données d’identification, vie professionnelle (numéro de matricule, service…), locaux et outils de travail autorisés, données générées par le dispositif, journalisation des accès aux locaux et aux outils de travail. Avant la mise en place du dispositif biométrique, les salariés concernés doivent être informés individuellement dans les conditions prévues par le RGPD et l’employeur doit, par ailleurs, réaliser une analyse d’impact  (Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail).