Au sens large, le mot « biométrie » peut s’entendre comme tout système permettant de « mesurer le vivant ». Dans le contexte des systèmes d’information, il possède un sens plus spécifique : celui d’un procédé de vérification de l’identité et d’authentification d’un individu en utilisant des caractéristiques inhérentes à sa personne (ex : son visage, sa démarche, son empreinte digitale…). Grâce à ce procédé, une personne est identifiée à partir de ce qu’elle est, par opposition aux systèmes d’identification basés sur ce qu’elle sait (par exemple, un mot de passe) ou ce qu’elle possède (par exemple, une pièce d’identité). Potentiellement la plus robuste de ces méthodes d’authentification, cette solution est également celle qui présente les risques les plus importants en cas de violation des données. Les données biométriques ne sont en effet pas des données comme les autres : elles permettent à tout moment l’identification de la personne sur la base d’une réalité biologique qui lui est propre, qui perdure dans le temps et dont elle ne peut s’affranchir.
Toute violation ou détournement de l’usage de ces données entraîne donc des atteintes importantes aux droits et libertés des personnes concernées. Si l’on peut en effet changer un mot de passe compromis, on ne peut faire de même avec une caractéristique biométrique compromise, qui continuera quoi qu’il en soit d’identifier un individu tout au long de sa vie : les conséquences d’une violation sur de telles données peuvent être irréversibles. Prenant en compte ces particularités, le RGPD qualifie les données biométriques de « données sensibles ». Cette qualification a une conséquence : le traitement de données biométriques est en principe interdit, sauf certaines exceptions limitativement prévues par le texte.
Le règlement européen sur la protection des données (RGPD) a consacré le caractère particulier des données biométriques en les qualifiant de « sensibles », au même titre que les données concernant la santé, les opinions politiques ou les convictions religieuses. Le traitement de ces données sensibles est en principe interdit, sauf certains cas limitativement énumérés.