Log in
Sign up
Colorado AI Act compliance, a Rocky Mountain peak in sumi-e ink

Sections

Loi du Colorado sur l’IA (SB 26-189) : ce que la conformité ADMT exige en 2027

L’essentiel

  • Le Colorado a réécrit sa loi sur l’IA en 2026 : le SB 26-189 abroge et remplace le texte initial de 2024 (SB 24-205), et entre en vigueur le 1er janvier 2027.
  • La loi vise désormais les technologies de décision automatisée (ADMT) employées dans des décisions conséquentes, et non plus les systèmes d’IA à haut risque.
  • Les déployeurs assument quatre obligations concrètes : information préalable, explication sous 30 jours en cas de résultat défavorable, accès et rectification des données, et réexamen humain.
  • La révision a supprimé les obligations initiales d’analyse d’impact, de programme de gestion des risques et de devoir de diligence contre la discrimination algorithmique.
  • Ces obligations disparues restent imposées par d’autres régimes : un dispositif de gouvernance de l’IA opérationnel demeure donc la base rationnelle avant 2027.
Conformité à la loi du Colorado sur l'IA, un sommet des Rocheuses à l'encre sumi-e

Ce qu’est devenue la loi du Colorado sur l’IA : du SB 24-205 au SB 26-189

Lorsque le gouverneur Jared Polis a promulgué le SB 24-205 en mai 2024, le Colorado est devenu le premier État américain à adopter une loi générale et transsectorielle sur l’intelligence artificielle. Ce texte initial imposait des devoirs lourds aux développeurs et aux déployeurs de systèmes d’IA à haut risque, dont une obligation de diligence raisonnable pour protéger les consommateurs de la discrimination algorithmique.

La loi n’est jamais entrée en application sous cette forme. Sa date d’entrée en vigueur a été repoussée à deux reprises et, début 2026, un tribunal en a suspendu temporairement l’exécution à la suite d’un recours de xAI soutenu par le ministère américain de la Justice. Un groupe de travail réunissant des législateurs, le cabinet du gouverneur et le bureau du procureur général a négocié un remplacement et publié une proposition en mars 2026.

Le résultat porte le nom de SB 26-189, intitulé Automated Decision-Making Technology. Plutôt que de modifier la loi existante, il l’abroge et la réédicte. D’après le dossier législatif de l’Assemblée générale du Colorado, le texte a été déposé le 1er mai 2026, adopté par le Sénat le 7 mai, par la Chambre le 9 mai, puis promulgué le 14 mai 2026. Ses dispositions générales prennent effet le 1er janvier 2027.

La leçon pratique est simple : une grande partie des analyses publiées sur la première loi décrivent des obligations qui n’existent plus. Toute organisation qui structure un dispositif de gouvernance de l’IA autour du Colorado doit travailler à partir du texte réédicté, et non de la version de 2024.

Du « haut risque » à la technologie de décision automatisée

Le changement central tient au concept retenu. La loi initiale encadrait les systèmes d’IA à haut risque. Le texte réédicté encadre les technologies de décision automatisée couvertes, que le cabinet Crowell and Moring décrit comme tout système recourant au calcul ou à l’apprentissage automatique pour traiter des données personnelles et influencer de façon substantielle une décision conséquente.

Cette définition est plus large qu’il n’y paraît. Elle abandonne l’exigence antérieure selon laquelle le système devait inférer des sorties à partir d’entrées ; ainsi, un simple outil à base de règles qui vérifie si une réponse se situe dans une fourchette acceptable peut entrer dans le champ dès lors qu’il pèse sur une décision couverte.

Une décision conséquente est une décision produisant un effet juridique important, ou comparable, sur l’accès d’un consommateur à l’éducation, l’emploi, le logement, les services financiers ou de crédit, l’assurance, les soins de santé ou les services publics essentiels, ou sur leur coût ou leurs conditions. Ces domaines ont été repris de la loi initiale.

Le texte réédicté énumère aussi ce qui reste hors champ. Les fonctions courantes telles que la planification, le tri du service client, la publicité, les recommandations de produits, la recherche et la modération de contenu sont exclues, tout comme les pare-feu, les filtres anti-spam, les correcteurs orthographiques, l’hébergement web, les calculatrices, les bases de données, les tableurs et les outils servant uniquement à résumer ou présenter une information à un humain. Cartographier vos systèmes au regard de ces frontières constitue la première étape d’un inventaire des systèmes d’IA fiable.

Qui est concerné : développeurs, déployeurs et zones de conformité présumée

La loi conserve la structure à deux rôles que retiennent la plupart des régimes récents. Le développeur conçoit ou modifie substantiellement une ADMT couverte. Le déployeur l’utilise au Colorado pour influencer des décisions conséquentes concernant des résidents. Une même entreprise peut cumuler les deux rôles, par exemple lorsqu’elle conçoit un modèle de recrutement interne et l’exploite elle-même.

Le texte réédicté a modifié le régime des exemptions. La version de 2024 prévoyait de larges exclusions conditionnelles pour les entités déjà régies au niveau fédéral. Comme le souligne l’analyse du Consumer Finance Monitor, la réécriture restreint ces exemptions générales, ce qui élargit le périmètre, et les remplace par des voies de conformité présumée ciblées.

Ces voies reconnaissent les contrôles que certains secteurs régulés appliquent déjà. Les assureurs qui respectent les règles du Colorado sur la discrimination algorithmique sont réputés conformes, sauf pour leurs propres décisions d’emploi. Les entités de santé soumises à la loi HIPAA sont largement hors champ, hormis les décisions d’emploi conséquentes et les déterminations d’aide financière. Les dispositifs médicaux et les produits pharmaceutiques régis par la FDA sont exclus. Les organismes de crédit qui émettent déjà des avis d’action défavorable au titre des lois ECOA et FCRA peuvent s’appuyer sur ces procédures pour satisfaire l’obligation d’information, et les établissements conformes à la loi FERPA sont réputés conformes pour l’information et le réexamen humain lorsqu’ils disposent déjà de processus de rectification et de révision. Déterminer la voie applicable à chaque système relève de votre documentation de gouvernance de l’IA.

Ce que les déployeurs doivent faire : les quatre obligations concrètes

Les déployeurs portent les obligations les plus visibles pour le public. Le texte réédicté en fixe quatre, décrites en termes opérationnels par Norton Rose Fulbright.

Une information claire et visible

Avant qu’une ADMT couverte ne serve à influencer une décision conséquente, le déployeur doit informer le consommateur de manière claire et visible que la technologie est employée. Il s’agit d’une obligation de transparence en amont, et non d’une explication a posteriori.

L’explication sous 30 jours en cas de résultat défavorable

Lorsqu’une décision couverte aboutit à un résultat défavorable, le déployeur dispose de 30 jours pour fournir une explication en langage clair. Celle-ci doit exposer la décision, décrire le rôle joué par l’ADMT et indiquer à la personne comment exercer ses droits. Cette obligation constitue le cœur opérationnel de la loi : elle contraint les déployeurs à savoir quels systèmes ont déterminé quelles décisions.

L’accès et la rectification des données personnelles

Les personnes peuvent demander à consulter les données personnelles utilisées dans une décision et à rectifier les données inexactes, dans la limite du raisonnable sur le plan commercial. Le déployeur doit donc être en mesure de retracer les données à l’origine d’une sortie donnée.

Le réexamen humain et le réexamen au fond

À la suite d’une décision défavorable, une personne peut demander un réexamen humain véritable et un réexamen au fond, là encore dans la limite du raisonnable. Ce sont deux droits distincts : le déployeur doit pouvoir reprendre un dossier et, le cas échéant, en changer l’issue. Intégrer ces canaux de demande à vos processus est bien plus simple lorsqu’une plateforme de gouvernance de l’IA suit déjà chaque système et ses décisions.

Ce que les développeurs doivent faire : les obligations documentaires

Les développeurs portent une charge plus légère mais précise, centrée sur la documentation. À compter du 1er janvier 2027, le développeur doit remettre aux déployeurs la documentation technique nécessaire à un usage responsable de l’ADMT couverte. Ce dossier couvre les usages prévus, les catégories de données personnelles ayant servi à l’entraînement, les limites et risques connus, ainsi que des instructions permettant un usage approprié et une supervision humaine.

Le développeur doit aussi signaler aux déployeurs toute mise à jour ou modification substantielle, puisqu’un changement de modèle peut modifier ses risques et son usage correct. Le texte réédicté conserve la conservation des enregistrements pendant trois ans : les développeurs doivent donc préserver la documentation et l’historique des évolutions qui prouvent ce qu’a fait un système, et quand.

Pour un développeur, la voie la plus nette consiste à traiter la documentation comme un livrable du produit plutôt qu’une formalité tardive. Des fiches de modèle, des synthèses de données et des instructions d’usage qui vivent au côté du système rendent la transmission aux déployeurs routinière et maintiennent vos archives de gouvernance de l’IA prêtes pour un audit.

Ce que la loi a supprimé, et pourquoi cela compte toujours

Les modifications les plus lourdes sont des suppressions. Le texte réédicté a retiré trois obligations qui définissaient la loi de 2024 : le programme obligatoire de gestion des risques, l’analyse d’impact et le devoir de diligence raisonnable contre la discrimination algorithmique. Il a aussi abandonné la revue annuelle et le résumé public. Crowell and Moring décrit ce devoir de diligence comme la principale source d’exposition au risque sous l’ancien régime.

Il serait erroné d’y voir une autorisation de cesser de gouverner l’IA. Ces devoirs ont quitté le droit du Colorado, pas l’ensemble du paysage de conformité. Le règlement européen sur l’IA impose toujours aux déployeurs de systèmes à haut risque une analyse d’impact sur les droits fondamentaux au titre de son article 27, dont les éléments figurent dans le guide FRIA de l’ECNL et de l’Institut danois des droits de l’homme. Le cadre de gestion des risques liés à l’IA du NIST continue de définir la gestion des risques comme la base d’une IA digne de confiance. D’autres États américains régissent les mêmes systèmes, et les lois fédérales de non-discrimination et de protection des consommateurs s’appliquent toujours aux décisions automatisées.

La réponse rationnelle consiste à conserver les contrôles que le Colorado a supprimés, car ils restent le moyen le plus économique de satisfaire simultanément tous les autres régimes et de se tenir prêt pour les règles du procureur général attendues en 2027. Une analyse d’impact, des tests de biais et un programme de risques documenté ne sont plus des exigences du Colorado, mais ils demeurent la façon de prouver qu’une ADMT couverte est équitable, exacte et défendable.

Comment se préparer avant le 1er janvier 2027 : un plan opérationnel

La fenêtre de conformité est courte, et les nouveaux processus tournés vers le consommateur prennent des mois à construire. Les étapes suivantes transforment la loi en plan d’action.

  1. Constituez un inventaire des ADMT. Recensez chaque système qui recourt au calcul ou à l’apprentissage automatique pour traiter des données personnelles et peser sur une décision couverte. Un inventaire des systèmes d’IA fiable est le socle de toutes les autres étapes.
  2. Classez chaque système. Déterminez s’il s’agit d’une ADMT couverte, si vous en êtes le développeur ou le déployeur, et si une voie de conformité présumée s’applique.
  3. Mettez en place le dispositif d’information. Ajoutez une information claire et visible partout où une ADMT couverte touche une décision conséquente.
  4. Construisez le processus d’explication à 30 jours. Créez un modèle et désignez un responsable pour que les explications partent à temps et décrivent fidèlement le rôle de l’ADMT.
  5. Câblez les canaux de rectification et de réexamen humain. Offrez aux consommateurs une voie pour consulter et corriger leurs données et demander un réexamen humain véritable, et donnez à vos équipes le pouvoir de changer une issue.
  6. Maintenez une base de gouvernance volontaire. Conservez analyses d’impact, tests de biais et programme de risques même si le Colorado ne les impose plus.
  7. Collectez la documentation des développeurs. Si vous déployez des systèmes tiers, exigez la documentation technique désormais requise des développeurs.
  8. Désignez des responsables. Nommez une personne pour chaque obligation afin que la conformité ne s’enlise pas à la publication des règles.

Une plateforme de gouvernance de l’IA unique, qui réunit l’inventaire, les analyses et les enregistrements de décisions, transforme cette liste d’une course contre la montre en un processus reproductible.

Le Colorado dans le paysage des lois américaines et européenne

La loi du Colorado sur l’IA n’est plus isolée. Le Texas a adopté le Responsible Artificial Intelligence Governance Act, l’Utah son Artificial Intelligence Policy Act, et la Californie des règles sur la décision automatisée via son régulateur de la vie privée. Le règlement européen sur l’IA reste le régime le plus complet, avec ses niveaux de risque, ses évaluations de conformité et ses analyses d’impact pour les systèmes à haut risque.

Après la réécriture, le Colorado se situe à l’extrémité la plus légère de ce spectre. Il s’agit désormais avant tout d’une loi de transparence et de contestabilité pour le consommateur, plutôt que d’un régime complet de gouvernance des risques. Pour les acteurs multi-États et internationaux, le Colorado constitue un plancher plutôt qu’un plafond. Un dispositif conçu selon le standard européen, plus strict, couvre généralement le Colorado avec une marge confortable : c’est pourquoi aligner sa conformité sur le régime applicable le plus exigeant est souvent le choix efficace. Nos autres analyses sur la gouvernance de l’IA suivent l’évolution de ces régimes.

Questions fréquentes

Quand la loi du Colorado sur l’IA entre-t-elle en vigueur ? Le texte réédicté, le SB 26-189, entre en vigueur le 1er janvier 2027. Le procureur général doit achever sa réglementation obligatoire à la même date : les exigences détaillées d’information et de droits des consommateurs seront donc précisées peu avant l’échéance de conformité.

Quelles sont les sanctions prévues ? Le procureur général du Colorado applique la loi de manière exclusive et traite les manquements comme des pratiques commerciales trompeuses au titre du Colorado Consumer Protection Act. Le texte ne fixe pas d’amendes forfaitaires distinctes, et les détails des sanctions sont attendus dans les règles du procureur général. Un délai de mise en conformité de 60 jours s’applique à de nombreux manquements, mais pas aux manquements délibérés ou répétés, et ce droit de régularisation s’éteint le 1er janvier 2030.

Existe-t-il une action en justice privée ? Non. Le texte réédicté indique expressément qu’il ne crée pas d’action privée : seul le procureur général peut engager des poursuites. Les particuliers peuvent toujours agir sur le fondement d’autres lois, par exemple les textes existants de non-discrimination.

Comment la loi affecte-t-elle les décisions d’emploi ? L’emploi est un domaine couvert : utiliser une ADMT pour influencer un recrutement, une promotion ou un licenciement déclenche les obligations du déployeur, soit l’information préalable, l’explication sous 30 jours, la rectification des données et le réexamen humain. Les assureurs et les entités soumises à HIPAA perdent leurs zones de conformité présumée précisément pour leurs propres décisions d’emploi conséquentes.

En quoi le SB 26-189 diffère-t-il de la loi initiale ? Le SB 24-205 initial encadrait les systèmes d’IA à haut risque et imposait un programme de gestion des risques, des analyses d’impact et un devoir de diligence raisonnable contre la discrimination algorithmique. Le SB 26-189 recentre la loi sur la technologie de décision automatisée et supprime ces trois obligations, en les remplaçant par quatre devoirs tournés vers le consommateur : information, explication, rectification et réexamen humain.

Quelles entreprises sont exemptées ? Il n’existe pas d’exemption générale pour les petites entreprises. La loi prévoit des voies de conformité présumée sectorielles pour les assureurs, les entités de santé soumises à HIPAA, les produits régis par la FDA, les organismes de crédit relevant d’ECOA et FCRA, et les établissements conformes à FERPA, généralement pour les activités que ces régimes fédéraux encadrent déjà. Leurs propres décisions d’emploi restent en général dans le champ.

Conclusion

La loi du Colorado sur l’IA de 2026 est plus légère que celle adoptée en 2024, mais plus légère ne veut pas dire absente. Le SB 26-189 exige toujours que les organisations sachent quels systèmes prennent des décisions conséquentes, préviennent les personnes lorsqu’une ADMT est employée, expliquent les résultats défavorables et offrent un véritable second regard humain. Les obligations supprimées par le Colorado n’ont pas disparu du reste du monde réglementaire : les organisations sereines en 2027 seront celles qui n’auront jamais cessé de gouverner leur IA. Commencez par un inventaire de vos décisions automatisées, puis construisez le dispositif de gouvernance une fois et reliez-le à chaque régime applicable. Découvrez comment une plateforme de gouvernance de l’IA peut porter ce travail.

Mathieu Lefebvre

Loi du Colorado sur l’IA (SB 26-189) : ce que la conformité ADMT exige en 2027

La loi du Colorado sur l'IA a été réécrite par le SB 26-189, en vigueur le 1er janvier 2027. Voyez ce que la norme ADMT exige des développeurs et déployeurs.

Cadre de gestion des risques du NIST : des systèmes à l’IA

Le cadre de gestion des risques du NIST expliqué : les sept étapes du RMF, les normes SP 800-37 et 800-53, et comment l'AI RMF l'étend à l'intelligence artificielle.

IA éthique : un modèle d’exploitation auditable

L'IA éthique au-delà des slogans : rattacher chaque principe à une obligation (EU AI Act, ISO 42001, NIST AI RMF), un responsable et une preuve.

Qu’est-ce qu’un frontier model ? Définition, risques et règles

Un frontier model est la classe d'IA la plus avancée. Ce qui le distingue des foundation models et des LLM, et comment le règlement IA l'encadre.

Analyse d’impact sur la vie privée : PIA, AIPD, AIDF

Analyse d'impact sur la vie privée : définition du PIA, différence avec l'AIPD du RGPD, et quand le règlement IA impose une analyse des droits fondamentaux.

Signalement des incidents IA : l’article 73 du règlement IA

Signalement des incidents IA selon l'article 73 du règlement IA : ce qu'est un incident, qui le signale, les délais de 2/10/15 jours et le processus à bâtir.