הצדקת הצורך במערכת מבוססת-ביומטריה, יישום אמצעי אבטחת מידע משמעותיים ועריכת סקר סיכוני פרטיות - אלה עיקרי הדרישות שמציב רגולטור הפרטיות הצרפתי (CNIL) על מעסיקים בצרפת המעוניינים לאסוף ולעבד מידע ביומטרי מעובדיהם. הדרישות גובשו בתקנות שהתקין הרגולטור בצרפת במסגרת הסמכות שהוקנתה לו בחוק הגנת הפרטיות הצרפתי (המשלים ל-GDPR) להסדיר את נושא עיבוד מידע ביומטרי. ה-GDPR עצמו - בסעיף 9 בו - מאפשר לכל מדינה ממדינות האיחוד לקבוע כללים נוספים שיחולו על עיבוד מידע גנטי, ביומטרי או רפואי, וצרפת היא אחת המדינות שניצלה אפשרות זו.
התקנות החדשות בצרפת קובעות כי מעסיקים יידרשו להראות כי חלופות שפגיעתן בפרטיות פחותה בהשוואה לאיסוף מידע ביומטרי לא מאפשרות להגשים את המטרה החיונית לשמה מבקש המעסיק לאסוף ולעבד מידע ביומטרי. מנגד, מעסיקים שיעמדו בכל התנאים המתוארים לא יידרשו להסכמת העובדים לצורך עיבוד מידע ביומטרי עליהם.
אחד העקרונות העולים מהתקנות החדשות הוא שיש להעדיף במובהק פתרון ביומטריה שבו אין מאגר מרכזי של נתונים ביומטריים. במקום זאת, יש להעדיף שימוש בכרטיס חכם שמצוי בידי המשתמש ובו מאוחסנים הנתונים הביומטריים (או תמצית שלהם). כאשר המשתמש נדרש להזדהות בעמדת זיהוי או בקרת גישה, ניטלת ממנו סריקה ביומטרית (למשל, של האצבע), הוא מעביר את הכרטיס החכם - והמערכת משווה את המידע הביומטרי שבכרטיס למידע הביומטרי שנסרק לצורך ווידוא זהות האדם. מקור: רגולטור הפרטיות הצרפתי.
law.co.il מזכיר כי בישראל פסק בית הדין הארצי לעבודה כי מעסיקים אינם רשאים לחייב עובדים להשתמש בשעון נוכחות ביומטרי, וכי יש להעמיד לרשותם ולבחירתם חלופה שאינה דורשת מסירת מידע ביומטרי.