Que vous ayez déployé la reconnaissance faciale et que vous deviez connaître votre exposition, ou que vous évaluiez des fournisseurs et vouliez réussir du premier coup, nous auditons les systèmes biométriques au regard des réglementations, des benchmarks et des normes opérationnelles qui comptent vraiment.
136,6 M$
Règlements de litiges BIPA pour la seule année 2025
Privacy World Year-in-Review, 2025
7 203x
Écart du taux de faux positifs entre groupes démographiques
NIST FRVT Demographics, mars 2025
108 jours
Détention injustifiée résultant d'une seule fausse correspondance de reconnaissance faciale
Affaire Angela Lipps, Fargo (Dakota du Nord), 2025
Les échecs tiennent rarement à de mauvais algorithmes. Ils tiennent à de mauvais achats, à de mauvaises données et à une gouvernance absente.
Le schéma se répète à chaque incident majeur de reconnaissance faciale. Un détaillant ou un établissement financier sélectionne un fournisseur. Le contrat du fournisseur exclut toute garantie d'exactitude. L'entreprise alimente une liste de surveillance avec des images d'enregistrement : certaines sont des portraits contrôlés, mais beaucoup sont des captures granuleuses de vidéosurveillance, des photos prises au téléphone ou des photos d'identité judiciaire vieilles de dix ans. Le système est mis en service dans des centaines de sites.
Ce qui se produit ensuite est un problème de calcul que l'entreprise n'a jamais fait. Le système est optimisé pour la correspondance en ensemble fermé (cette personne figure-t-elle dans la base de données ?) mais déployé pour le filtrage en ensemble ouvert (cette personne, parmi des milliers de visiteurs quotidiens, est-elle l'une des 200 personnes de notre liste de surveillance ?). Dans un magasin accueillant 8 000 visiteurs par jour avec une liste de surveillance de 200 personnes, 97,5 % des scans portent sur des personnes non enregistrées. Un algorithme en ensemble fermé tente de trouver la meilleure correspondance pour chaque visage qu'il voit, et avec ce volume, même un taux de faux positifs de 0,1 % génère 8 alertes incorrectes par jour et par magasin. Sur 500 sites, cela représente 4 000 fausses alertes par jour.
Ces fausses alertes ciblent de manière disproportionnée certains groupes démographiques. Les tests NIST FRVT montrent que les taux de faux positifs pour certains groupes démographiques sont des milliers de fois plus élevés que pour d'autres. Lorsque Rite Aid a déployé son système, la FTC a constaté que les magasins situés dans des communautés à majorité relative noire et asiatique généraient nettement plus de fausses alertes que ceux situés dans des communautés à majorité relative blanche. Les employés, non formés aux limites du système, suivaient et interpellaient des clients sur la base d'alertes automatisées qu'ils traitaient comme des faits avérés.
Angela Lipps, une grand-mère de 50 ans originaire du Tennessee, a été arrêtée en juillet 2025 par les U.S. Marshals après que la police de Fargo a utilisé la reconnaissance faciale pour l'identifier comme suspecte. Elle se trouvait à 1 200 miles de là au moment du crime. Elle a passé 108 jours en prison avant que les charges ne soient abandonnées la veille de Noël 2025. Le chef de la police de Fargo a présenté ses excuses publiquement le 27 mars 2026.
Voici ce qui se produit lorsqu'un score de correspondance est traité comme une preuve. Le système a produit un chiffre. Personne n'a vérifié si ce chiffre était fiable compte tenu de la qualité de l'image, de l'écart d'âge entre l'image sonde et les images de la galerie, ou des performances démographiques de l'algorithme sur le groupe de population du sujet. Des actions en justice pour atteinte aux droits civiques sont en préparation.
La conséquence pour Rite Aid : une interdiction de cinq ans de la reconnaissance faciale, la destruction obligatoire de toutes les données biométriques et de tout modèle entraîné sur ces données (restitution de modèle exigée par la FTC), et un programme complet de sécurité de l'information supervisé par les hauts dirigeants. La conséquence pour Harvey Murphy : une action en justice de 10 millions de dollars après 10 jours de détention injustifiée comprenant des violences physiques. Ce ne sont pas des cas marginaux. Le Washington Post a documenté au moins 8 Américains arrêtés à tort à la suite de correspondances par reconnaissance faciale, les enquêteurs ayant dans chaque cas omis des étapes fondamentales comme la vérification des alibis.
Aucune loi fédérale américaine ne régit la reconnaissance faciale. Vous êtes au contraire confronté à une mosaïque de lois d'État, d'interdictions municipales et de réglementations internationales, chacune avec des exigences de consentement et des structures de sanctions différentes.
| Loi / Réglementation | Juridiction | Exigence clé | Sanction | Statut (2026) |
|---|---|---|---|---|
| BIPA de l'Illinois | Illinois | Consentement écrit avant la collecte ; calendrier de conservation public ; aucune vente de données biométriques | 1 000 à 5 000 $ par infraction | Application active. Plus de 107 recours collectifs déposés en 2025. Droit d'action privé. |
| CUBI du Texas | Texas | Consentement pour usage commercial. La TRAIGA (juin 2025) exonère la prévention de la sécurité et de la fraude. | Jusqu'à 25 000 $ par infraction | Active. Règlement de 1,375 Md$ avec Google. Application par le procureur général uniquement (pas de droit d'action privé). |
| Règlement européen sur l'IA | Union européenne | Identification biométrique à distance en temps réel interdite (exceptions pour les crimes graves). Évaluations de conformité pour les systèmes à haut risque. | Jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial | Interdictions applicables depuis février 2025. Échéances pour le haut risque reportées à décembre 2027. |
| Colorado Privacy Act | Colorado | Consentement pour les identifiants biométriques ; calendriers de conservation ; contrôles de sécurité | Application par le procureur général | Amendements biométriques en vigueur depuis juillet 2025. La loi sur l'IA ajoute des analyses d'impact (février 2026). |
| Loi biométrique de Washington | État de Washington | Consentement avant l'enregistrement dans une base de données biométrique | Application par le procureur général | Active. Pas de droit d'action privé. |
| Interdictions au niveau municipal | Plus de 16 villes américaines | Interdiction pure et simple de l'usage de la reconnaissance faciale par les pouvoirs publics et/ou le secteur privé | Variable selon l'ordonnance | San Francisco, Boston, Oakland, Portland, et d'autres. Application active. |
| Article 5 de la FTC | Fédéral (États-Unis) | « Pratiques déloyales ou trompeuses. » Fondement de l'action contre Rite Aid. Inclut la restitution de modèle. | Mesure d'injonction + suppression des données/du modèle | Active. La restitution devient un outil d'application standard (affaire edtech de mai 2025). |
Plus de 10 États supplémentaires devraient adopter des protections de la confidentialité biométrique d'ici fin 2026. La fonction « Familiar Faces » de Ring d'Amazon (lancée en décembre 2025) a été bloquée en Illinois, au Texas et à Portland en quelques semaines.
Une référence pour évaluer les fournisseurs et les alternatives. La colonne « Lacune » est honnête : certaines lacunes sont des problèmes que nous résolvons, et d'autres sont des problèmes organisationnels que personne ne peut résoudre à votre place.
| Catégorie | Exemples | Atout | Lacune pour l'acheteur |
|---|---|---|---|
| Biométrie full-stack | NEC, IDEMIA, Thales | Meilleurs classements NIST FRVT. Des décennies de R&D. Contrats publics et intégration matérielle. | Coûteux (déploiements à plus de 500 000 $). Cycles de vente longs. Verrouillage fournisseur. Ils vous vendent le système mais n'auditent pas votre conformité aux lois régissant son utilisation. |
| Reconnaissance faciale logicielle uniquement | Paravision, Rank One Computing | Bons classements NIST. Intégration plus facile. Certaines mettent l'accent sur l'atténuation des biais. Déployable en périphérie (edge). | Vous avez tout de même besoin de quelqu'un pour valider leurs affirmations au regard de vos conditions de déploiement. Les résultats NIST sur des jeux de données contrôlés ne prédisent pas les performances sur vos flux de vidéosurveillance. |
| API de reconnaissance faciale en cloud | Amazon Rekognition, Microsoft Azure Face | Faible coût. Échelle massive. Intégration facile. Confiance des entreprises. | Les deux appliquent des moratoires indéfinis sur les ventes aux forces de l'ordre. Préoccupations de souveraineté des données (images traitées dans un cloud tiers). Contrôle limité sur les mises à jour de l'algorithme. |
| Plateformes de prévention des pertes pour le commerce de détail | FaceFirst, Gatekeeper + ROC (2026) | Conçues pour les flux de travail du commerce de détail. Intégration VMS (Genetec, Milestone). Axées sur la prévention des pertes. | La conformité relève de votre responsabilité. Les contrats des fournisseurs excluent les garanties d'exactitude. Aucun test de biais indépendant inclus. |
| Biométrie pour la fintech | FacePhi, iProov | Axées sur le KYC bancaire. Détection du vivant. Conception conforme au RGPD. | Verticale étroite. Non conçues pour la surveillance en ensemble ouvert. L'intégration avec les systèmes bancaires centraux hérités est souvent plus difficile que ce que les fournisseurs annoncent. |
| Big 4 / grandes ESN | Deloitte, Accenture, EY, PwC | Vaste expertise en conformité. Relations avec les régulateurs. Confiance des entreprises. | La conformité biométrique est une ligne au sein d'une mission de confidentialité plus large, et non une spécialité. Ils n'analysent pas les données NIST FRVT, ne testent pas votre algorithme déployé pour les biais et n'auditent pas la qualité de votre base de données d'enregistrement. Les missions vont de 300 000 à plus de 2 M$ pour une gouvernance générale de l'IA qui inclut la biométrie parmi de nombreux autres sujets. |
| Développement interne | Recruter un responsable conformité + un ingénieur en vision par ordinateur | Contrôle total. Connaissance institutionnelle approfondie. | La conformité biométrique requiert une expertise qui couvre la vision par ordinateur, le droit réglementaire et la méthodologie de test. Trouver une seule personne maîtrisant les trois est quasiment impossible. Constituer une équipe prend de 6 à 12 mois et coûte plus de 400 000 $ par an en salaire chargé. |
Six capacités, chacune comblant une lacune précise que les fournisseurs et les cabinets du Big 4 laissent ouverte.
Nous extrayons les données brutes NIST FRVT relatives à l'algorithme de votre fournisseur, puis nous les normalisons à votre scénario de déploiement. Le classement d'un fournisseur en vérification 1:1 est sans pertinence si vous exécutez un filtrage de liste de surveillance 1:N. Nous décomposons les performances par taille de galerie (le nombre d'entrées de votre liste de surveillance compte), par niveau de qualité d'image (captures de vidéosurveillance vs. enregistrement contrôlé) et par groupe démographique. Le résultat est une carte de notation feu vert/feu rouge assortie d'un niveau de risque, et non un rapport NIST reconditionné en présentation. Si vous évaluez plusieurs fournisseurs, nous menons une analyse comparative pondérée selon vos paramètres spécifiques.
Nous cartographions votre déploiement biométrique au regard de chaque loi applicable simultanément : BIPA, CUBI, Washington, Colorado, le règlement européen sur l'IA et les interdictions municipales. Le résultat est une matrice de conformité site par site indiquant quels magasins/agences peuvent légalement exploiter la reconnaissance faciale, lesquels nécessitent des modifications du consentement et lesquels doivent la désactiver entièrement. Nous prenons en compte les exemptions de la TRAIGA du Texas (dérogations pour la prévention de la sécurité et de la fraude, en vigueur depuis juin 2025) ainsi que la définition d'« espace accessible au public » du règlement européen sur l'IA qui englobe les surfaces de vente privées. La matrice est mise à jour trimestriellement.
L'intervention au plus fort retour sur investissement pour réduire les fausses alertes. Nous auditons la base de données de votre liste de surveillance/galerie selon les scores de qualité d'image (résolution, éclairage, angle de pose), le risque lié à l'écart d'âge (photo de galerie vs. apparence actuelle estimée), l'équilibre de la représentation démographique et l'hygiène de la liste (combien d'entrées ont plus de 2 ans, combien n'ont pas de source documentée). Chez Rite Aid, des photos prises au téléphone et des captures de vidéosurveillance de faible qualité étaient utilisées comme images d'enregistrement. C'est là que naissent les faux positifs : pas dans l'algorithme, mais dans les données que vous lui fournissez.
Nous menons des tests structurés sur votre système déployé à l'aide de jeux d'images sondes couvrant l'âge, le genre, le teint de peau (Fitzpatrick I-VI) et des conditions d'éclairage correspondant à vos sites réels. Nous mesurons le taux de fausse correspondance (False Match Rate) et le taux de fausse non-correspondance (False Non-Match Rate) par groupe démographique, puis nous les comparons aux données NIST FRVT pour votre fournisseur. Le seuil juridique que nous surveillons : la règle des quatre cinquièmes issue du droit de la discrimination à l'emploi est de plus en plus invoquée dans les affaires de biais biométrique. Si votre taux de faux positifs pour un groupe quelconque dépasse 125 % de celui du groupe le plus performant, vous présentez une disparité documentable.
Les régulateurs exigent une supervision humaine « significative » mais ne la définissent pas. Nous évaluons votre flux de travail avec humain dans la boucle au regard de ce que les actions répressives citent réellement : configuration du seuil de confiance, qualité de l'interface du relecteur (les relecteurs peuvent-ils voir les images sources à côté des images de galerie ?), documentation de la formation des relecteurs, existence et respect d'un protocole d'escalade, temps de relecture moyen par alerte (moins de 3 secondes signifie une validation automatique sans réflexion) et exhaustivité de la piste d'audit. Nous signalons les endroits où votre HITL est cérémoniel plutôt que substantiel, et nous construisons la piste documentaire qui sert de défense juridique.
Une couche API légère qui s'intercale entre votre fournisseur de reconnaissance faciale et votre flux de décision. Au lieu d'un score de correspondance binaire (0,85), votre équipe de sécurité voit une confiance calibrée : « correspondance de 0,85, mais l'intervalle de prédiction à 90 % est de 0,62 à 0,94 compte tenu de la qualité de l'image et des conditions d'éclairage. » Nous la construisons à l'aide de la prédiction conforme (Conformal Prediction) pour fournir des bornes de couverture garanties. L'intergiciel est indépendant du fournisseur, fonctionne avec la sortie de n'importe quel moteur de reconnaissance faciale et ajoute la dimension d'incertitude qui transforme les alertes automatisées en signaux de risque calibrés. C'est la couche technique qui rend les décisions HITL défendables.
Une description étape par étape des points où les déploiements échouent et de ce qu'un système gouverné détecte.
Un client entre dans le magasin. La caméra en hauteur capture une image en 720p à 6 mètres, avec un angle de plongée de 22 degrés, sous un éclairage mêlant fluorescent et lumière naturelle. La région du visage occupe environ 80x80 pixels après extraction. C'est la qualité d'image avec laquelle travaillent la plupart des systèmes de reconnaissance faciale du commerce de détail, et elle est nettement inférieure aux photos d'enregistrement contrôlées que les fournisseurs utilisent pour leurs démonstrations. La relation entre la qualité d'entrée et la fiabilité de la correspondance n'est pas linéaire : une réduction de 50 % de la résolution peut augmenter les taux de faux positifs de 300 à 400 %.
Le système effectue une correspondance 1:N par rapport à une liste de surveillance de 300 personnes. La galerie comprend des photos d'identité judiciaire vieilles de 15 ans, des clichés pris au téléphone issus de rapports d'incident et une poignée d'images d'enregistrement contrôlées. L'algorithme renvoie une correspondance : un score de similarité de 0,83 par rapport à une entrée de galerie enregistrée à partir d'une photo d'identité judiciaire prise en 2011. L'algorithme ne sait pas qu'un score de 0,83 face à une photo vieille de 15 ans, avec un éclairage, un poids et une coiffure différents, est bien moins fiable qu'un 0,83 face à un enregistrement récent. Il rapporte le chiffre sans contexte.
L'alerte parvient à la tablette d'un agent de prévention des pertes. Il voit : « Correspondance trouvée : confiance de 83 %. » Aucune comparaison avec l'image source. Aucune information sur la qualité de l'image, l'ancienneté de l'enregistrement ou les performances démographiques à ce niveau de confiance. Il suit le client. Dans le scénario Rite Aid, l'agent a interpellé le client, fouillé ses effets personnels et l'a accusé d'un vol antérieur. Le client était innocent. Multipliez cela par des centaines de magasins et des années d'exploitation, et vous obtenez des milliers d'incidents.
Points de défaillance : aucun filtre de qualité d'image, aucune vérification de l'ancienneté de l'enregistrement, aucune quantification de l'incertitude, aucune interface HITL significative, aucune formation des relecteurs, aucune piste d'audit.
Avec nos recommandations d'audit mises en œuvre : le filtre de qualité d'image rejette la capture de 80x80 pixels comme inférieure au seuil de résolution minimal (nous recommandons un minimum de 100x100 pour la correspondance 1:N). Si l'image passe le contrôle de qualité, la couche de quantification de l'incertitude enveloppe le score de 0,83 d'un intervalle de prédiction : « correspondance de 0,83, mais l'intervalle de confiance à 90 % est de 0,58 à 0,95 compte tenu de la qualité de capture. » L'intervalle large signale cette correspondance comme non fiable. Le vérificateur d'ancienneté d'enregistrement signale la photo de galerie vieille de 15 ans. L'alerte, si elle atteint un relecteur, affiche la capture source à côté de l'image de galerie avec des métadonnées : distance de capture, évaluation de l'éclairage, date d'enregistrement et bornes de confiance. Le relecteur, formé à reconnaître les correspondances non fiables, rejette l'alerte. La décision est consignée avec horodatage, identifiant du relecteur et justification.
Quatre phases. Des calendriers réalistes. La phase d'évaluation révèle souvent à elle seule de quoi justifier la mission.
Nous inventorions votre déploiement biométrique : quels fournisseurs, quels sites, quelle infrastructure de caméras, quelle base de données d'enregistrement, quel processus HITL existe. Nous extrayons les données NIST FRVT de votre fournisseur (s'il est classé) et cartographions l'implantation de vos magasins/agences au regard des lois applicables sur la confidentialité biométrique. Livrable : un rapport d'évaluation des risques qui quantifie votre exposition en dollars, identifie les trois mesures de remédiation les plus prioritaires et fournit l'argumentaire commercial de la phase suivante.
Nous menons des tests de biais démographique sur votre système déployé, auditons la qualité de la base de données d'enregistrement, validons la maturité du processus HITL et produisons une matrice de conformité juridiction par juridiction. Livrable : un plan de remédiation hiérarchisé assorti de modifications techniques et procédurales précises, d'une estimation de l'effort pour chacune et d'un calendrier de conformité aligné sur les échéances d'application. Ce document devient votre feuille de route de conformité et votre pièce de défense juridique.
Nous construisons ce qui ne peut être acheté sur étagère : un intergiciel de quantification de l'incertitude pour votre fournisseur de reconnaissance faciale, un réglage des seuils de confiance calibré aux conditions de vos magasins, des programmes de formation des relecteurs, des flux de travail de nettoyage de la base de données d'enregistrement et des configurations d'application des politiques tenant compte de la juridiction pour votre plateforme VMS. Le calendrier dépend du périmètre. L'intégration de l'intergiciel avec Genetec ou Milestone prend généralement 3 à 4 semaines. La refonte du processus HITL avec déploiement de la formation prend 4 à 6 semaines pour une exploitation multi-magasins. Nous sommes honnêtes quant à ce qui prend du temps.
La conformité biométrique n'est pas une correction ponctuelle. De nouvelles lois d'État sont adoptées chaque trimestre. Le NIST met à jour les classements FRVT. Votre fournisseur livre des mises à jour d'algorithme qui modifient les performances démographiques. Votre liste de surveillance s'agrandit et se dégrade. Nous menons une recertification trimestrielle : nous retestons le biais démographique sur les algorithmes mis à jour, actualisons la matrice de conformité juridictionnelle, auditons la dérive de la base de données d'enregistrement et examinons les indicateurs de respect du HITL. C'est la mission qui prévient le prochain scénario Rite Aid.
Réserves : les calendriers de la phase 3 supposent que votre plateforme VMS prend en charge l'intégration au niveau de l'API. Les systèmes de vidéosurveillance analogiques hérités nécessitent des mises à niveau de l'infrastructure avant que des couches de gouvernance puissent être appliquées. Nous le cadrons en phase 1 afin qu'il n'y ait aucune surprise. Les déploiements multipays (États-Unis + UE) ajoutent 2 à 3 semaines à la phase 2 pour la cartographie de l'évaluation de conformité du règlement européen sur l'IA.
Répondez à 8 questions sur votre déploiement de reconnaissance faciale pour obtenir une évaluation des risques assortie d'étapes suivantes précises. Vos réponses ne sont ni stockées ni transmises.
La BIPA exige un consentement écrit éclairé avant la collecte de tout identifiant biométrique, un calendrier de conservation et de destruction accessible au public, et l'interdiction de vendre des données biométriques ou d'en tirer profit. Pour la reconnaissance faciale dans le commerce de détail, cela crée un problème pratique : vous ne pouvez pas obtenir le consentement écrit de chaque personne qui franchit la porte. Certains détaillants ont tenté des modèles de notification avec option de refus (affichage de panneaux aux entrées), mais les régulateurs et les tribunaux se sont montrés sceptiques. L'affaire Bunnings en Australie a conclu que la signalétique seule était insuffisante, et le texte de la BIPA exige un consentement écrit affirmatif, et non une notification passive.
Les approches viables que nous voyons fonctionner sont la désactivation géolocalisée (désactivation complète de la reconnaissance faciale dans les sites de l'Illinois), le consentement limité à l'enregistrement (correspondance uniquement avec une base de données d'individus ayant donné un consentement écrit, comme les employés ou des récidivistes connus ayant fait l'objet d'une procédure judiciaire préalable), ou le passage à une vision par ordinateur non biométrique (analyse comportementale détectant des schémas de dissimulation sans identifier les individus). Chaque approche comporte des compromis entre couverture et conformité. Nous cartographions votre déploiement spécifique au regard des exigences de la BIPA et recommandons l'approche correspondant à votre tolérance au risque. La sanction de 5 000 $ par infraction intentionnelle s'accumule rapidement : 10 000 scans quotidiens sur 50 sites de l'Illinois créent 2,5 milliards de dollars d'exposition théorique annuelle.
Le NIST FRVT publie des données de performance détaillées, mais les rapports sont denses et les métriques qui comptent dépendent entièrement de votre scénario de déploiement. Pour le filtrage de liste de surveillance dans le commerce de détail (identification 1:N en ensemble ouvert), la métrique critique est le taux de fausse non-identification (False Negative Identification Rate) à un taux de fausse identification (False Positive Identification Rate) fixe. La plupart des fournisseurs mettent en avant leurs chiffres de vérification 1:1 (utilisés pour le déverrouillage de téléphone ou le contrôle aux frontières), qui paraissent impressionnants mais sont sans pertinence pour la surveillance dans le commerce de détail. Un fournisseur affichant 99,5 % d'exactitude en vérification 1:1 pourrait produire des milliers de faux positifs lors d'une recherche dans une galerie de 500 suspects parmi 10 000 visiteurs quotidiens.
Vous devez vérifier : les résultats FRVT 1:N spécifiquement (pas 1:1), les performances à la taille de galerie que vous prévoyez (100 vs. 10 000 sujets change tout), les taux de faux positifs démographiques pour les populations présentes dans vos magasins, et la dégradation des performances sur les images de faible qualité (captures de vidéosurveillance vs. photos contrôlées). Nous extrayons les données NIST brutes pour vos fournisseurs présélectionnés, les normalisons à vos paramètres de déploiement et produisons une carte de notation comparative. Nous vérifions également si l'algorithme FRVT soumis par le fournisseur correspond à ce qu'il commercialise réellement, car certains fournisseurs soumettent au NIST des modèles de recherche optimisés qui diffèrent de leur logiciel de production.
La restitution de modèle est l'outil d'application le plus sévère de la FTC en matière d'IA. Elle oblige une entreprise à supprimer non seulement les données collectées de manière inappropriée, mais aussi tout algorithme ou modèle entraîné sur ces données. La FTC l'a utilisée contre Rite Aid en 2023, exigeant la destruction de tous les modèles biométriques issus de scans faciaux non consentis. Elle l'a utilisée contre Everalbum (aujourd'hui Paravision) en 2021 pour la même raison. En mai 2025, une entreprise edtech a reçu la même injonction.
L'implication pratique : si votre système de reconnaissance faciale a été entraîné sur, ou enregistré avec, des données biométriques collectées sans consentement approprié, la FTC peut vous ordonner de détruire le système entier, et pas seulement les données. Pour les entreprises faisant appel à des fournisseurs tiers de reconnaissance faciale, le risque se transmet par votre contrat fournisseur. Si votre fournisseur a entraîné son modèle sur des images collectées de manière inappropriée (et plusieurs grands fournisseurs ont fait face exactement à cette accusation), et que la FTC ordonne une restitution, l'algorithme de votre fournisseur est supprimé et votre déploiement s'éteint. Nous auditons la chaîne de provenance des données de votre fournisseur : d'où proviennent leurs données d'entraînement, si le consentement a été obtenu, et si votre base de données d'enregistrement a été constituée selon des pratiques de collecte conformes. C'est le risque le plus négligé dans l'achat de biométrie.
La reconnaissance en ensemble fermé suppose que la personne scannée figure assurément dans la base de données. Elle répond à : quelle personne de ma galerie est-ce ? Les systèmes de déverrouillage de téléphone et de pointage des employés sont des problèmes en ensemble fermé, et les algorithmes de reconnaissance faciale commerciaux sont fortement optimisés pour eux. La reconnaissance en ensemble ouvert gère la réalité selon laquelle la plupart des personnes ne figurent pas dans la base de données. Elle doit répondre à deux questions : cette personne figure-t-elle ne serait-ce que dans ma galerie, et si oui, qui est-ce ?
Le filtrage de liste de surveillance dans le commerce de détail est fondamentalement un problème en ensemble ouvert. Dans un magasin accueillant 5 000 visiteurs par jour et une liste de surveillance de 200 suspects, 99,6 % des scans sont non appariés (la personne ne figure pas dans la base de données). Un algorithme en ensemble fermé tentera toujours de trouver la meilleure correspondance, même lorsque la personne n'est pas enregistrée. C'est exactement ce qui s'est produit chez Rite Aid : le système a généré des milliers de faux positifs parce qu'il comparait chaque visiteur à la liste de surveillance et renvoyait la correspondance de galerie la plus proche, quelle que soit la similarité réelle. Les algorithmes en ensemble ouvert utilisent des fonctions de perte spécialisées et des seuils de rejet pour classer explicitement les inconnus comme inconnus. Si la soumission NIST FRVT de votre fournisseur ne couvre que la vérification 1:1 (ensemble fermé), il n'a pas démontré de capacité en ensemble ouvert. Nous testons votre système déployé spécifiquement pour les performances en ensemble ouvert : à quel point il rejette les sujets non appariés dans vos conditions réelles de magasin.
Un HITL significatif fait la différence entre un déploiement défendable et un procès. La FTC a cité Rite Aid spécifiquement pour absence de relecture humaine significative : les employés agissaient sur des alertes automatisées sans formation, sans contexte ni capacité à remettre en question le système. Un processus HITL défendable requiert quatre composantes. Premièrement, le seuillage de confiance : rejeter automatiquement les correspondances inférieures à un seuil minimal (nous recommandons généralement 0,70 pour le commerce de détail) afin que les relecteurs ne voient que des correspondances plausibles, ce qui évite la fatigue d'alerte. Deuxièmement, la conception de l'interface du relecteur : le relecteur doit voir la capture de vidéosurveillance originale à côté de l'image d'enregistrement de la galerie, avec des métadonnées indiquant les conditions de capture (distance, éclairage, angle) et le score de confiance de la correspondance assorti de bornes d'incertitude.
Troisièmement, la formation et la certification des relecteurs : les relecteurs ont besoin d'une formation documentée sur la reconnaissance des faux positifs, la sensibilisation au biais démographique et les procédures d'escalade. Ils doivent comprendre qu'un score de correspondance de 0,85 issu d'une capture de vidéosurveillance granuleuse à 15 mètres est bien moins fiable qu'un 0,85 issu d'une caméra d'enregistrement contrôlée à 2 mètres. Quatrièmement, l'exhaustivité de la piste d'audit : chaque alerte, chaque décision du relecteur (approuver, rejeter, escalader) et chaque action ultérieure doivent être consignées avec horodatage et identifiant du relecteur. C'est votre défense juridique. La défaillance la plus courante que nous observons : les détaillants configurent des seuils de confiance mais font l'impasse sur la formation des relecteurs. Un seuil ne fonctionne que si l'humain qui relit l'alerte sait ce qu'il regarde.
La conformité multi-États est le problème opérationnel le plus difficile du déploiement biométrique. La BIPA de l'Illinois exige un consentement écrit avant la collecte, avec des dommages-intérêts légaux pouvant atteindre 5 000 $ par infraction. La CUBI du Texas autorise jusqu'à 25 000 $ par infraction mais exonère les usages de sécurité et de prévention de la fraude (depuis juin 2025). Washington exige le consentement mais ne prévoit pas de droit d'action privé. Le Colorado a ajouté des protections biométriques en juillet 2025. Le Connecticut a élargi les définitions des données sensibles pour y inclure les données biométriques. Et plus de 16 villes ont interdit purement et simplement l'usage de la reconnaissance faciale.
Les options pratiques sont les suivantes : déployer la norme la plus stricte partout (consentement de niveau BIPA pour tous les sites, ce qui tue de fait la reconnaissance faciale dans le commerce de détail), déployer des configurations spécifiques à chaque juridiction (reconnaissance faciale active dans les États permissifs, désactivée dans les États restrictifs), ou déployer des alternatives non biométriques dans les juridictions restrictives tout en maintenant la reconnaissance faciale dans les juridictions permissives. Chaque option requiert une architecture technique différente. Le déploiement spécifique à chaque juridiction signifie que votre plateforme VMS doit appliquer des politiques tenant compte de la localisation. La désactivation signifie que votre équipe de prévention des pertes a besoin de flux de travail alternatifs pour les magasins de l'Illinois à fort taux de démarque. Nous construisons une matrice de juridictions pour l'implantation spécifique de vos magasins, cartographions chaque site au regard des exigences fédérales, étatiques et locales applicables, et concevons un modèle opérationnel qui équilibre couverture et conformité. La matrice est mise à jour trimestriellement au fil de l'adoption de nouvelles législations.
Les tests démographiques NIST FRVT montrent que les taux de faux positifs varient jusqu'à 7 203x entre groupes démographiques. Votre fournisseur a peut-être un classement NIST, mais ce classement reflète les performances sur les jeux de tests du NIST, pas vos conditions de déploiement spécifiques. L'éclairage des magasins, les angles de caméra, la résolution des images et la composition démographique de votre clientèle affectent tous le biais en conditions réelles différemment des conditions de test contrôlées.
Nous menons des tests de biais structurés sur votre système déployé, et non sur la version de laboratoire de votre fournisseur. Le processus utilise des jeux d'images sondes diversifiés couvrant les tranches d'âge (18-30, 31-50, 51-70, 70+), le genre, le teint de peau (échelle Fitzpatrick I-VI) et des conditions d'éclairage correspondant à vos magasins réels (fluorescent en plafond, mixte naturel/artificiel, faible luminosité). Pour chaque segment démographique, nous mesurons le taux de fausse correspondance (False Match Rate) et le taux de fausse non-correspondance (False Non-Match Rate), puis nous comparons les groupes. Le seuil juridique à surveiller : la règle des quatre cinquièmes utilisée dans la discrimination à l'emploi (EEOC) est de plus en plus invoquée dans les litiges relatifs au biais biométrique. Si le taux de faux positifs de votre système pour un groupe démographique quelconque dépasse 125 % du taux du groupe le plus performant, vous présentez une disparité documentable. Nous produisons un rapport statistique précisant les seuils à partir desquels votre exposition au biais devient juridiquement actionnable, et pas seulement préoccupante sur le plan éthique.
La recherche derrière cette page de solution.
Analyse technique approfondie de l'interdiction infligée à Rite Aid par la FTC et de l'arrestation injustifiée de Harvey Murphy, avec des cadres architecturaux pour la quantification de l'incertitude, la reconnaissance en ensemble ouvert et la gouvernance avec humain dans la boucle dans les systèmes biométriques.
L'action de Harvey Murphy contre Macy's : 10 millions de dollars. Le règlement moyen d'un recours collectif BIPA : 12 à 75 millions de dollars.
Notre évaluation de conformité biométrique identifie votre exposition en 2 à 3 semaines. La plupart des entreprises découvrent des lacunes dont elles ignoraient l'existence, de la contamination de la base de données d'enregistrement à des processus HITL qui ne résisteraient pas à un examen réglementaire.