Selon un arrêt du 16 avril 2015 de la Cour de justice de l’UE, « l’article 4 -3 du règlement n° 2252/2004, tel que modifié par le règlement n° 444/2009, doit être interprété en ce sens qu’il n’oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage, un tel aspect ne relevant pas du champ d’application dudit règlement. ».
Dans cette affaire, des citoyens néerlandais avaient refusé de fournir leurs empreintes digitales pour la délivrance d’un passeport ou de fournir leurs empreintes digitales et une photo faciale pour la délivrance d’une carte d’identité au motif que cela constituait une atteinte à leur intégrité physique et une limitation à leur droit à la protection de leur vie privée. Cette atteinte découlait, selon eux, du stockage de ces données sur les titres d’identités mais aussi dans une base de données centralisée. Le règlement n° 2252/2004, qui établit des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres, prévoit que les données stockées dans les documents ne doivent être utilisées que pour vérifier l’authenticité du passeport ou de la carte d’identité du titulaire quand la loi exige la production de ces titres. A la lecture du considérant 5, il ressort cependant que toute autre utilisation ou conservation de ces données relèvent de la compétence exclusive des Etats membres. En conséquence, le règlement n’oblige pas un Etat membre “à garantir, dans sa législation, que les données biométriques ne [seraient] ni utilisées ni conservées par cet Etat à des fins autres que la délivrance du passeport”.

En France, un arrêt du Conseil d’Etat du 26 octobre 2011 avait confirmé, pour l’essentiel, la légalité du décret du 30 avril 2008 qui prévoit, pour le passeport, le recueil de l’image numérisée du visage ainsi que d’empreintes digitales et l’enregistrement de ces données à caractère personnel dans une base de données centralisée dénommée Titres électroniques sécurisés (TES). L’enregistrement et la collecte de ces données poursuivent a priori une finalité administrative, dans un but d’authentification.