Guide opérationnel pour la reconnaissance faciale ICE: Politiques de seuils, révision humaine et correction d’erreurs

Une décennie de progrès rapide dans la précision de la reconnaissance faciale n’a pas éliminé le risque principal: une fausse correspondance unique peut se répercuter à travers les systèmes d’application de la loi, tandis qu’une fausse non-correspondance peut étiqueter à tort un participant conforme. Au sein du DHS, des seuils configurables dans HART, des politiques à conduite unique et une journalisation d’audit existent; sur le terrain, les équipes d’investigation complètent les systèmes DHS avec des outils commerciaux et des référentiels d’images négociés, et le programme ATD effectue des vérifications un à un avec SmartLINK de BI Inc. Pourtant, les versions d’algorithmes, les galeries et les seuils opérationnels restent non divulgués publiquement, et le manque de contrôle a souligné des lacunes dans l’inventaire des outils non fédéraux. Cette combinaison de capacités puissantes, gouvernance inégale et transparence incomplète exige un guide opérationnel concret.

Ce guide fournit un plan de mise en œuvre étape par étape pour réduire le risque de mauvaise identification dans deux contextes distincts: les recherches d’investigation un-à-plusieurs et la vérification un-à-un dans l’ATD. Les gestionnaires de programme et les analystes y trouveront des conseils pratiques pour définir des cas d’utilisation et des objectifs de précision–rappel; définir, documenter et recalibrer les seuils avec un contrôle des changements; concevoir des flux de travail de révision humaine et de corroboration; gérer les fausses non-correspondances ATD; créer des traces audibles; appliquer la gouvernance des fournisseurs avec des exigences soutenues par FRVT; et exécuter les procédures de recours et de correction qui corrigent les dossiers dans HART/EID et transmettent les corrections aux partenaires.

Définir les cas d’utilisation et les objectifs de précision–rappel

Commencez par séparer les deux contextes opérationnels et leurs profils de risque. Les recherches d’investigation un-à-plusieurs (1:N) génèrent des listes de candidats contre de grandes galeries hétérogènes. La vérification un-à-un (1:1) confirme une identité affirmée, généralement dans des conditions plus contrôlées. Ces tâches ne sont pas interchangeables, et l’équilibre acceptable entre faux positifs et faux négatifs diffère.

Investigations un-à-plusieurs
Objectif: Générer des pistes d’investigation, jamais des identifications définitives.
Facteurs de risque: Grandes galeries (ex.: dossiers frontaliers/immigrations, photos historiques d’incarcération, images extraites du web), photos d’enquête non contraignantes ou âgées, et différents démographiques documentés lors de tests indépendants.
Objectif: Favoriser la précision lorsque des actions défavorables peuvent suivre, en supprimant les faux positifs qui peuvent déclencher une surveillance en aval, des détentions ou arrestations. Traiter tous les résultats comme des pistes nécessitant une corroboration.
Vérification un-à-un (ATD)
Objectif: Vérifier l’identité d’un participant inscrit lors des check-ins.
Facteurs de risque: Conditions de capture (éclairage, pose, occlusions), variabilité de l’appareil, images vieillies.
Objectif: Favoriser des taux bas de fausses non-correspondances pour éviter que des erreurs techniques ne créent des signaux de non-conformité; maintenir des contrôles stricts pour minimiser les fausses acceptations.

Lorsque des métriques opérationnelles spécifiques ne sont pas disponibles, articulez des résultats cibles de manière qualitative et reliez-les aux conséquences décisionnelles. Par exemple, une recherche 1:N utilisée pour prioriser des étapes d’investigation devrait tolérer moins de faux positifs qu’une recherche 1:N alimentant une vaste catégorisation analytique. Et une vérification 1:1 utilisée pour restreindre des pénalités administratives devrait prioriser des taux faibles de fausse non-correspondance et incorporer des chemins de remédiation rapide.

Baseline de comparaison

Dimension	Investigations 1:N	Vérification 1:1 ATD
Objectif principal	Générer des pistes	Confirmer la revendication d’identité
Conditions d’image	Souvent non contraignantes, hétérogènes	Captures contrôlées via application
Position de seuil	Précision plus élevée pour réduire les faux positifs	Faible faux non-correspondance tout en maintenant la sécurité
Révision humaine	Vérification obligatoire des pistes et corroboration	Révision obligatoire des non-correspondances avant toute pénalité
Enjeux en aval	Surveillances potentielles, détentions, arrestations	Drapeaux de conformité affectant la supervision

Les politiques de base existent déjà: HART permet des seuils configurables par cas d’utilisation; DHS exige de traiter les correspondances comme des pistes avec révision humaine, corroboration et audit; ATD décrit le stockage 1:1 des images et des résultats de correspondance avec un accès basé sur les rôles. Utilisez ces garde-fous pour formaliser des objectifs spécifiques à la mission et les documenter dans un inventaire écrit des cas d’utilisation.

Politiques de seuils: définition, documentation et recalibration

Les seuils déterminent le compromis entre faux positifs et faux négatifs. Ils sont configurables à l’intérieur de HART, mais les valeurs spécifiques utilisées opérationnellement ne sont pas publiques. Les outils commerciaux et les plateformes de courtage de données peuvent intégrer des seuils propriétaires ou exposer des contrôles limités. Pour gérer le risque de manière cohérente:

Publier une politique de seuil interne par cas d’utilisation

Définir une position de seuil par contexte (ex.: pistes 1:N avec haute précision; vérifications 1:1 avec faible faux non-correspondance).
Indiquer que les sorties 1:N ne peuvent pas être utilisées comme bases uniques pour les actions et doivent passer par une révision humaine et une corroboration.
Documenter les galeries accédées (ex.: référentiels DHS, toute recherche facilitée par l’État, collections commerciales) et les conditions d’image anticipées.

Appliquer un contrôle des changements et des validations de risque

Exiger des tickets de contrôle des modifications pour tout ajustement de seuil, avec justification liée aux objectifs de cas d’utilisation et aux évaluations de risque.
Imposer des validations de la part de la direction du programme, de la confidentialité et du juridique pour les changements pouvant affecter de manière significative les taux de faux positifs/négatifs ou les décisions en aval.
Enregistrer le fournisseur d’algorithme et la version utilisée si connue; si un système n’expose pas les versions publiquement, exiger du fournisseur qu’il atteste de la filiation de l’algorithme et de la cadence de mise à jour dans le cadre de la gouvernance.

Recalibrer périodiquement en fonction des conditions réelles d’image

Utiliser des tests indépendants (ex.: participation des fournisseurs à des benchmarks reconnus) pour ancrer les attentes, tout en reconnaissant que les images de production peuvent différer des ensembles de test.
Effectuer des vérifications internes de bon sens en utilisant des échantillons dé-identifiés représentatifs des sondes réelles et des galeries, en se concentrant sur les modes de défaillance tels que la pose non frontale, les occlusions, la faible luminosité et les photos vieillies.
Revoir les seuils à la suite de changements matériels: mises à jour d’algorithmes, changements de composition de la galerie ou nouvelles contraintes légales (ex.: lois d’État modifiant l’accès aux recherches DMV ou imposant des exigences procédurales).

Aligner l’utilisation extérieure avec les cadres juridiques

Pour les recherches DMV d’État, se conformer aux exigences juridictionnelles telles que le routage centralisé, les ordres judiciaires ou les mandats où cela est applicable. Enregistrer le processus légal utilisé en plus des réglages de seuil et des résultats.
Pour les outils commerciaux, exiger la documentation de tout seuil et contrôle caché, et s’assurer que les résultats sont traités comme des pistes avec des exigences explicites de corroboration.

Les cibles numériques spécifiques ne sont pas disponibles publiquement; la politique devrait donc se concentrer sur des objectifs qualitatifs, les impacts décisionnels et la justification auditable des choix.

Flux de travail de révision humaine et gestion des fausses non-correspondances ATD

Les algorithmes produisent des scores; les personnes prennent des décisions. Le flux de travail doit garantir que les analystes formés examinent les candidats de manière cohérente, appliquent les standards de corroboration et documentent les résultats. Pour l’ATD, le flux de travail doit empêcher que les erreurs techniques ne se transforment en violations de conformité.

flowchart TD;
 A[Début] --> B[Les algorithmes produisent des scores];
 B --> C[Les analystes examinent les candidats];
 C --> D{Sensibilisation démographique};
 D --|Oui| E[Augmenter la surveillance des cas limites];
 D --|Non| F[Poursuivre l'examen];
 E --> G[Appliquer la liste de contrôle de vérification des candidats];
 F --> G;
 G --> H[Documenter les résultats];
 H --> I[Empêcher les violations de conformité];
 I --> J[Fin];

Ce schéma décrit le flux de travail de révision humaine pour gérer les scénarios de fausse non-correspondance ATD, détaillant les étapes de la notation algorithmique à l’examen par un analyste et à la prise de décision concernant la vérification des candidats et la conformité.

Listes de contrôle de vérification des candidats et normes de corroboration

Pour les investigations 1:N, formaliser un processus d’examen standardisé:

Liste de contrôle de vérification des candidats
Vérification de la qualité des sondes: pose frontale, éclairage, occlusions, âge de l’image.
Évaluation de l’image du candidat: alignement, résolution et contexte de similarité au-delà du score.
Sensibilisation démographique: reconnaître que les taux d’erreur peuvent varier entre les groupes démographiques et dans des conditions d’image dégradées; augmenter la surveillance des cas limites.
Contexte du rang/score: ne pas supposer une confiance linéaire; traiter prudemment les scores proches parmi plusieurs candidats.
Provenance de la galerie source: différencier les galeries DHS des images extraites du web ou négociées; noter les implications de qualité des données.
Lien de base de corroboration
Exiger au moins deux facteurs indépendants en plus de la correspondance faciale avant d’engager des actions coercitives. Les exemples incluent la vérification documentaire d’un système distinct, les liens biographiques validés ou la confirmation de témoins. Si des facteurs indépendants ne sont pas disponibles, réduire la confiance et différer l’action.
Interdire de justifier des détentions, arrestations ou mises sur liste de surveillance uniquement avec une correspondance faciale.
Essentiels du modèle de notes de cas
Cas d’utilisation et galerie référencés.
Nom et version de l’algorithme/outil (si exposés), et le seuil fixé.
Rang(s) et score(s) du candidat.
Narratif d’évaluation de l’examinateur humain.
Sources de corroboration collectées et leurs résultats.
Décision finale et approbation de la supervision.

ATD: protocoles pour les fausses non-correspondances et la vérification alternative

Les vérifications un-à-un dans SmartLINK opèrent dans des conditions contrôlées et devraient atteindre des taux très bas de fausses acceptations dans de bonnes conditions de capture. Les fausses non-correspondances peuvent encore se produire; les traiter comme des exceptions techniques sauf si la révision humaine conclut autrement.

Protocole de recapture d’image
Fournir des directives in-app ou documentées: arrière-plan neutre, éclairage uniforme, retirer chapeaux/masques/lunettes lorsque permis, cadrer le visage de face, et maintenir une expression neutre.
Lancer une séquence de recapture guidée après une non-correspondance; si une deuxième non-correspondance se produit, élever à la révision humaine avant tout signal de conformité.
Guidance environnementale et d’appareil
Offrir des conseils pratiques pour les problèmes courants: éviter le contre-jour, nettoyer l’objectif de la caméra, s’assurer d’une lumière ambiante suffisante. Lorsque possible, activer les vérifications de qualité de la caméra avant la capture.
Chemins de vérification alternative
Lorsque autorisé, permettre une vérification d’identité alternative pour la session (ex.: confirmation d’identité documentée par des canaux administratifs établis) plutôt que de traiter la non-correspondance comme une non-conformité.
Exiger un examinateur humain pour juger et annoter le cas, avec une séparation claire entre le résultat technique (non-correspondance) et la détermination de la supervision (conforme avec vérification alternative).
Escalade sans pénalités par défaut
Aucune pénalité administrative ne doit être émise uniquement à partir d’une non-correspondance automatisée. Une révision humaine est requise, et les participants doivent être informés du résultat et de toute mesure corrective (ex.: image d’inscription mise à jour si l’apparence a changé).

Pistes audibles, gouvernance des fournisseurs et recours

Une politique sans preuve est insuffisante. Construire une colonne vertébrale d’audit défendable à travers les systèmes; imposer des obligations de gouvernance aux fournisseurs et courtiers de données; et rendre la correction d’erreurs rapide, durable et transmissible à travers les systèmes partagés.

flowchart TD;
 A[Début de la piste audible] --> B[Capturer l'ID utilisateur et le rôle];
 B --> C[Journaliser le système accédé];
 C --> D[Enregistrer le cas d'utilisation];
 D --> E[Journaliser les horodatages];
 E --> F[Verification d'Autorité Légale];
 F --> G[Source et taille de la galerie];
 G --> H[Identification de l'algorithme/outil];
 H --> I[Définir le seuil/point de fonctionnement];
 I --> J[Résultat de la révision humaine];
 J --> K[Fin de la piste audible];

Ce schéma illustre le processus de création d’une piste audible dans les systèmes pour une gouvernance et une surveillance efficaces, de la capture des informations utilisateur à la définition des seuils pour les révisions humaines.

Journalisation, échantillonnage, tableaux de bord, et KRIs

Tirer parti des capacités de journalisation des systèmes dans HART, ATD et les plateformes d’investigation pour construire une piste audible qui soutient la surveillance interne et la responsabilité externe.

Schéma de journalisation (champs minimaux viables)
ID utilisateur et rôle; système accédé; cas d’utilisation (1:N vs 1:1).
Date/heure, autorité légale le cas échéant (ex.: processus d’État pour les recherches DMV).
Source et catégorie de taille de la galerie; nom et version de l’algorithme/outil (si disponible).
Seuil/point de fonctionnement; rang(s)/score(s) des candidats (1:N) ou succès/échec (1:1).
Résultat de la révision humaine; preuves de corroboration enregistrées; approbation de la supervision.
IDs des cas liés aux systèmes EID et d’investigation pour la continuité.
Drapeaux de correction et horodatages si une correspondance est ultérieurement jugée erronée.
Plans d’échantillonnage et revues de cas
Exécuter un échantillonnage statistiquement valide de recherches terminées pour vérifier l’adhérence à l’usage conduit uniquement, à la révision humaine et aux standards de corroboration.
Inclure un échantillonnage ciblé pour les scénarios à haut risque connus: grandes galeries, images dégradées ou utilisation de collections commerciales extraites du web.
Tableaux de bord et indicateurs clés de risque
Suivre les volumes de recherche par cas d’utilisation et système, les taux de correspondance, les taux de dépassement humain, les faux positifs identifiés, les escalades de fausse non-correspondance dans l’ATD, le temps de remédiation pour les corrections, et la part des cas avec corroboration enregistrée.
Publier des statistiques annuelles agrégées pour démontrer l’adhérence aux sauvegardes de confidentialité et de précision. Là où une supervision démographique est réalisée, la gérer de manière responsable et conforme à la politique.

Guide de gouvernance des fournisseurs

Les composants ICE se connectent aux systèmes opérés par le DHS, mais les enquêteurs utilisent également la recherche faciale commerciale et les images négociées. La gouvernance doit standardiser les attentes à travers les deux.

Exiger la participation au FRVT et la transparence
Accepter uniquement des algorithmes avec une participation actuelle à des benchmarks indépendants, et exiger des fournisseurs qu’ils divulguent la filiation des algorithmes (versions majeures en usage) et la relation entre les versions testées et les déploiements en production.
Lorsque les versions d’algorithmes ne sont pas exposées dans l’interface, inclure des attestations contractuelles et des notifications de mise à jour.
Provenance des données et droits d’audit
Pour les outils basés sur des corpus extraits du web, exiger des attestations de sourcing légal et des engagements de conformité. Pour les référentiels négociés, documenter les sources d’images (ex.: photos d’incarcération) et toute fonctionnalité de reconnaissance faciale intégrée.
Sécuriser les droits d’audit sur les journaux d’utilisation, la configuration (y compris les seuils), et la provenance des données de formation ou d’affinement lorsque applicable.
Sauvegardes contractuelles
Enforcer l’utilisation conduite uniquement dans le langage contractuel; interdire aux fournisseurs d’impliquer une identification définitive.
Exiger l’interopérabilité des journaux pour que les résultats des fournisseurs puissent être enregistrés dans les systèmes ICE avec les métadonnées nécessaires (seuils, rangs, scores, version de l’algorithme lorsque disponible).
Alignement à la législation d’État
Construire des processus pour se conformer aux restrictions de Washington, Massachusetts et Maine pour les recherches facilitées par l’État. Centraliser la gestion des processus légaux et conserver la documentation avec les journaux de recherche.

Procédures de recours et de correction

Des erreurs se produiront; le test opérationnel est de savoir comment elles sont corrigées rapidement et complètement—et si les corrections se propagent à travers les systèmes fédérés.

Notification et révision
Lorsqu’une correspondance faciale a contribué à une action défavorable ou un signal de conformité, notifier la personne et acheminer le cas pour une révision humaine accélérée.
Séparer les déterminations techniques (ex.: une mauvaise identification) des décisions opérationnelles (ex.: lever une détention ou clarifier un avis de conformité) et les enregistrer explicitement.
Remédiation du système
Corriger les mauvaises identifications dans HART/IDENT le cas échéant, EID, et les systèmes d’investigation. Taguer les enregistrements avec les métadonnées de correction, y compris les horodatages et les responsables officiels.
Lorsque les données ont été partagées avec des partenaires, déclencher des procédures de propagation et obtenir des confirmations écrites des corrections en aval.
Canaux de redressement sur mesure
Fournir un chemin de recours conscient de la reconnaissance faciale adapté aux contextes de retrait et de détention, avec des délais clairs et des normes de documentation. Un recours général pour le filtrage des voyages existe mais ne substitue pas un canal spécifique à l’ICE abordant les résultats de l’application.
Amélioration continue
Alimenter les cas d’erreurs confirmées dans les revues de seuils, la formation humaine et les évaluations de performance des fournisseurs. Si les modèles d’erreur se concentrent autour d’algorithmes, de galeries ou de conditions d’image spécifiques, ajuster les politiques d’utilisation en conséquence.

Une boucle serrée entre la journalisation, l’échantillonnage, la responsabilité des fournisseurs et le recours convertira la politique en réduction mesurable des risques. Elle crée également la transparence nécessaire pour maintenir la confiance du public et résister à un examen juridique alors que la doctrine constitutionnelle et les lois d’État continuent d’évoluer.

Conclusion

Le risque de mauvaise identification n’est pas un point de défaillance unique—c’est un problème d’écosystème. Des seuils qui penchent trop vers le rappel dans les recherches 1:N, une révision humaine qui traite les scores comme des certitudes, une journalisation faible, des outils fournisseurs en boîte noire, et un recours lent peuvent se combiner pour provoquer des dommages évitables. À l’inverse, lorsque les composantes documentent des cas d’utilisation distincts, calibrent les seuils en fonction des enjeux décisionnels, appliquent la corroboration, et exécutent des opérations auditables et conscientes des fournisseurs, le risque diminue considérablement.

Points clés à retenir

Séparer les pistes d’investigation 1:N des vérifications 1:1 et fixer des objectifs distincts de précision-rappel pour chaque.
Documenter les politiques de seuils, appliquer le contrôle des changements avec des validations de risque, et recalibrer lorsque les algorithmes, les galeries ou les lois changent.
Rendre la révision humaine non négociable: utiliser des listes de contrôle de vérification, exiger au moins deux facteurs de corroboration indépendants, et standardiser les notes de cas.
Dans l’ATD, traiter les non-correspondances comme des exceptions techniques par défaut; recaptcher, réviser, et permettre une vérification alternative là où elle est autorisée.
Construire une auditabilité de bout en bout, imposer des exigences de fournisseurs soutenues par le FRVT et des droits d’audit, et mettre en place un recours rapide et portable qui corrige les enregistrements à travers les systèmes.

Prochaines étapes pour les leaders de programme

Publier un inventaire interne des cas d’utilisation et des seuils de reconnaissance faciale dans les 90 jours (métriques spécifiques indisponibles; se concentrer sur des objectifs qualitatifs et impacts décisionnels).
Mettre en place un comité de révision interfonctionnel couvrant les opérations, la confidentialité, le droit et l’informatique pour superviser les seuils, les audits et la gouvernance des fournisseurs.
Lancer un programme d’échantillonnage trimestriel et de tableaux de bord qui rapporte l’utilisation agrégée, l’identification des erreurs et les délais de remédiation.
Négocier des amendements contractuels avec des fournisseurs externes pour exiger la participation au FRVT, des attestations de provenance des données, et des droits d’audit.

La barre pour une reconnaissance faciale responsable s’élève. Avec des contrôles configurables dans HART, des politiques claires du DHS sur le traitement des pistes et l’audit, et des garde-fous croissants au niveau des États, les outils pour gérer les risques existent déjà. Le travail maintenant est de les opérationnaliser—de manière cohérente, transparente, et avec un biais envers la précision là où les enjeux sont les plus élevés. ✅

Sources & Références

DHS/OBIM/PIA-004 HART Increment 1 Confirms configurable thresholds, access controls, and audit logging in DHS’s next-generation biometric system used by ICE.

DHS/ALL/PIA-062 DHS Use of Facial Recognition Technology Sets department-wide policies to treat matches as investigative leads, require human review, corroboration, and auditing.

DHS/ICE/PIA-048 ERO Alternatives to Detention (ATD) Describes 1:1 facial verification in SmartLINK, storage of images and match results, and auditing in the ATD program.

GAO-21-518 Federal Law Enforcement Use of Facial Recognition Technology Documents governance gaps in agencies’ inventories and policy for non-federal facial recognition tools, informing vendor oversight.

Washington State RCW 43.386 Facial Recognition Illustrates state-level constraints and oversight mechanisms relevant to state-facilitated face searches.

Massachusetts Session Laws 2020, Chapter 253 Shows centralized procedures and legal process requirements for face searches affecting ICE access to state channels.

Maine Statutes, 25 §6001 Facial Surveillance Provides an example of strong state limits on government facial surveillance that indirectly constrain state-facilitated searches.

DHS/OBIM-001 IDENT SORN Details permitted uses, routine disclosures, and retention that affect error propagation and remediation across DHS systems.

DHS/ICE/PIA-039 Enforcement Integrated Database (EID) Explains EID’s role in storing enforcement case data and the need to correct misidentifications across core systems.

DHS/ICE/PIA-045 Investigative Case Management (ICM) Governs investigative data handling and supports the case-note and correction workflows described in the playbook.

NIST FRVT Program Provides independent algorithm performance context and motivates vendor participation and threshold calibration practices.

NISTIR 8280 Face Recognition Vendor Test (FRVT) Part 3: Demographic Effects Documents demographic differentials and error-pattern variability critical to designing human review and corroboration.

Washington Post: ICE has run face recognition searches of state driver’s licenses Establishes historical use of state DMV repositories and the need for formal legal process and logging.