Selon la Cnil, la donnée biométrique : « appartient à la personne qui l'a générée et tout détournement ou mauvais usage de cette donnée fait alors peser un risque majeur sur l'identité de celle-ci ». Elle insiste donc sur la sécurité du traitement mais ne s'oppose pas à la mise en place d'une telle réforme.
Pour rappel, la future carte d'identité française devrait être dotée d'un composant électronique stockant les informations nominatives du titulaire, son adresse, sa photographie et ses empreintes digitales. Une autre puce facultative devrait permettre de stocker des données « permettant de s'identifier sur les réseaux de communications électroniques et de mettre en œuvre sa signature électronique ».
Par contre, l'autorité reste plus réservée quant à la constitution d'une base de données biométriques centralisée. Elle considère que certains usages pourraient aboutir à des « risques d'atteintes graves à la vie privée et aux libertés individuelles ». En l'espèce, ces atteintes ne pourraient être autorisées que lorsque l'ordre public le justifie. La Cnil tient donc à souligner que par principe, plus un fichier est de grande dimension et relié à des milliers de points d'accès, plus il est vulnérable. Elle a donc expliqué que la gestion « centralisée des huit empreintes digitales des demandeurs de passeport semblait disproportionnée au regard de l'objectif de lutte contre la fraude documentaire ».
Enfin, au sujet de l'éventualité de mettre en œuvre des dispositifs de reconnaissance faciale, l'autorité a également exprimé sa plus grande réserve sur le recours à de telles fonctionnalités.