Ce que les entreprises doivent savoir : la loi sur l’IA du Colorado diverge de l’approche fédérale sur l’impact disparate
La semaine dernière, les législateurs du Colorado ont tenu une session spéciale qui a abouti à une décision de retarder l’application de la loi sur l’intelligence artificielle du Colorado (CAIA) jusqu’au 30 juin 2026, prolongeant ainsi le calendrier au-delà de la date de début initiale de février 2026. Ce délai offre aux entreprises une brève fenêtre pour se préparer, mais la loi reste en vigueur, exigeant des entreprises qu’elles mettent en place des programmes de gouvernance et qu’elles effectuent régulièrement des évaluations d’impact des systèmes d’IA à haut risque.
Avec la CAIA toujours prévue pour entrer en vigueur l’année prochaine, deux approches très différentes de la responsabilité en matière d’IA émergent. Au niveau fédéral, le décret exécutif 14281 ordonne aux agences d’abandonner l’analyse de l’impact disparate et de limiter la responsabilité à la discrimination intentionnelle. En tant que première réglementation complète sur l’IA au niveau des États, la CAIA représente une approche entièrement différente, rendant les entreprises responsables des impacts disparates même en l’absence de preuve d’intention de discriminer.
I. CAIA : Responsabilité pour discrimination non intentionnelle
La CAIA établit la responsabilité tant pour les développeurs que pour les déployeurs d’IA si leurs systèmes produisent des résultats discriminatoires, même sans intention. La loi définit la discrimination algorithmique pour inclure les impacts disparates causés par l’IA dans des décisions conséquentes, et classifie comme « à haut risque » les systèmes qui influencent des décisions dans des domaines tels que l’emploi, le logement, le crédit, l’éducation, les soins de santé, l’assurance, les services juridiques et les services gouvernementaux essentiels.
Le rôle des évaluations d’impact sous la CAIA
Les « évaluations d’impact » sont un élément central des nouvelles exigences réglementaires de la CAIA pour l’IA dans l’État. Les déployeurs de ces systèmes d’IA à haut risque doivent compléter une évaluation d’impact avant la première utilisation du système, répéter l’évaluation au moins annuellement et en réaliser une nouvelle dans les 90 jours suivant toute modification substantielle.
Chaque évaluation d’impact doit inclure :
- Une description de l’objectif du système, de son utilisation prévue et du contexte de son déploiement ;
- Les catégories de données d’entrée et la nature des sorties du système ;
- Un aperçu des catégories de données que le déployeur a utilisées pour personnaliser ou réentraîner le système ;
- Les métriques de performance utilisées pour évaluer l’exactitude et l’équité, ainsi que les limitations connues ;
- Une analyse des risques potentiels de discrimination algorithmique ;
- Les mesures prises pour atténuer ces risques ;
- Les mesures de transparence et de surveillance en place, y compris si les consommateurs sont informés de l’utilisation de l’IA ;
- Les procédures de surveillance post-déploiement pour détecter les problèmes pendant le fonctionnement du système.
Les évaluations d’impact doivent être documentées et conservées pendant au moins trois ans. Ces évaluations créent une obligation continue pour les entreprises de tester et de valider en permanence l’équité de leurs systèmes afin d’éviter les impacts disparates.
Les protections et l’application de la CAIA
La CAIA prévoit une forme de refuge pour les entreprises qui respectent ses exigences. Les entreprises qui maintiennent un programme de gestion des risques et complètent les évaluations d’impact requises bénéficient d’une présomption de conformité. De plus, une défense affirmative est disponible si une violation est découverte et corrigée pendant que l’entreprise suit un cadre de risque reconnu.
L’autorité d’application incombe au procureur général du Colorado, et les déployeurs doivent notifier le procureur général dans les 90 jours suivant la découverte de discrimination algorithmique. Ainsi, bien que la responsabilité sous la CAIA s’étende à la discrimination non intentionnelle, les entreprises qui effectuent et documentent des évaluations robustes et des programmes de gouvernance bénéficieront de protections juridiques significatives en cas de problèmes.
II. Approche fédérale : Responsabilité limitée à la discrimination intentionnelle
En avril 2025, le président a émis le décret exécutif 14281, intitulé « Rétablir l’égalité des opportunités et la méritocratie ». L’ordre dirige les agences fédérales à abandonner l’analyse de l’impact disparate dans l’élaboration et l’application des règles. Dans ce cadre, la responsabilité se limite à la discrimination intentionnelle. Les résultats disparates sans intention ne sont pas susceptibles d’action, et des agences telles que l’EEOC, le HUD et le CFPB ne nécessiteront plus d’analyse ou de documentation de l’impact disparate.
Pour les entreprises, ce changement réduit les charges de conformité associées à la supervision fédérale. Les agences sont moins susceptibles d’enquêter sur les systèmes d’IA basés uniquement sur les résultats qu’ils produisent. Bien que cela limite le risque de responsabilité lors du déploiement de l’IA, le retrait fédéral n’élimine pas complètement le risque. Des plaignants privés peuvent toujours poursuivre des réclamations d’impact disparate en vertu de lois fédérales telles que le titre VII de la loi sur les droits civils ou la loi sur le logement équitable. L’application au niveau des États sous la CAIA et des lois similaires continuera également, indépendamment de la politique fédérale.
III. Implications pratiques de la divergence entre les États et le fédéral
Le Colorado a lié la responsabilité à l’impact disparate et a fait des évaluations d’impact récurrentes le centre de la conformité. Le gouvernement fédéral a pris le chemin opposé, abandonnant l’analyse de l’impact disparate et limitant la responsabilité à la discrimination intentionnelle. Cela crée un paysage réglementaire divisé. Les entreprises qui opèrent à l’échelle nationale devront concilier ces deux systèmes : une responsabilité élargie au niveau des États fondée sur des évaluations d’impact et une surveillance fédérale réduite.
Pour les entreprises, cette divergence crée un environnement de conformité à deux vitesses. Les régulateurs fédéraux signalent que les entreprises n’ont pas besoin de tester ou de documenter les impacts disparates, tandis que le Colorado exige des évaluations continues conçues pour les découvrir et les atténuer. Les entreprises qui se concentrent exclusivement sur les normes fédérales risquent la responsabilité au Colorado et dans d’autres États susceptibles de suivre son exemple.
En revanche, les entreprises qui structurent leurs programmes de gouvernance autour des normes plus élevées de la CAIA (y compris les évaluations annuelles, les divulgations aux consommateurs et les protocoles de reporting) seront positionnées pour satisfaire les deux régimes.
Il est important de reconnaître que la CAIA n’impose pas seulement des obligations. Elle intègre également des protections de refuge pour les entreprises qui s’y conforment. En maintenant des programmes de gestion des risques, en effectuant des évaluations d’impact régulières et en documentant les étapes d’atténuation, les entreprises obtiennent accès à des refuges sous forme de présomption de conformité et de défense affirmative si des problèmes sont découverts et corrigés.
Conclusion
Les entreprises sont désormais confrontées à deux approches très différentes en matière de réglementation de l’IA. Au niveau des États, les entreprises peuvent être tenues responsables de la discrimination non intentionnelle, à moins qu’elles ne se conforment proactivement aux exigences de la CAIA, notamment en effectuant des évaluations d’impact détaillées et récurrentes. Au niveau fédéral, la responsabilité est limitée à la discrimination intentionnelle, avec l’analyse de l’impact disparate abandonnée comme norme réglementaire dans de nombreuses circonstances.
La CAIA précise également qu’il existe un moyen pour les entreprises de se protéger. En maintenant des programmes de gestion des risques, en effectuant des évaluations d’impact régulières et en documentant les étapes d’atténuation, les entreprises bénéficient de refuges sous forme de présomption de conformité et de défense affirmative en cas de problèmes.
À mesure que d’autres États envisagent d’adopter des cadres réglementaires similaires à la CAIA, il est probable que le patchwork s’élargisse. Les entreprises qui s’engagent à concevoir des programmes de gestion des risques, à effectuer des évaluations d’impact approfondies et à calibrer les divulgations seront les mieux positionnées non seulement pour naviguer dans ces systèmes divergents, mais aussi pour tirer pleinement parti des refuges que la CAIA fournit.
