La Cnil va permettre à certaines sociétés d'installer un « dispositif biométrique reposant sur la reconnaissance de la frappe au clavier ». Concrètement, les éventuelles études porteront sur les variations de durées séparant la frappe de deux touches d'un clavier. De tels écarts peuvent alors servir d'élément d'authentification en plus des traditionnels mots de passe et identifiants.
Par contre, la commission présidée par Alex Türk précise que ces études devront uniquement être réalisées dans le cadre de démonstrations du fonctionnement du dispositif à de potentiels clients. Il ne serait donc pas question de permettre aux professionnels d'autoriser la collecte de telles données à des fins commerciales.
La Cnil tient à préciser qu'elle attachera une attention particulière aux demandes d'études qui lui seront envoyées. En effet, des malwares comme les keyloggers (mouchards capables d'enregistrer quelles touches sont utilisées) sont monnaie courante, et une utilisation frauduleuse de l'étude des frappes au clavier pourrait se répandre.
Enfin, trois conditions devront être remplies avant toute autorisation de collecte de ce type d'informations. Les fichiers contenant les résultats devront être chiffrés, la base de données du démonstrateur sera hébergée par la société démonstratrice et non par un prestataire. De même, aucun dispositif ne devra être installé à l'insu d'une personne.