La première loi américaine complète sur l'IA au niveau d'un État, exigeant des évaluations d'impact et de la transparence pour les systèmes d'IA à haut risque (high-risk AI systems) qui prennent des décisions importantes (consequential decisions).
Le Colorado Artificial Intelligence Act (SB 24-205), promulgué le 17 mai 2024, est la première législation complète sur l'IA au niveau d'un État aux États-Unis. Devant entrer en vigueur le 1er février 2026, il établit des obligations pour les développeurs et les déployeurs de « systèmes d'IA à haut risque » (high-risk AI systems), des systèmes d'IA qui prennent ou soutiennent substantiellement des « décisions importantes » (consequential decisions) affectant les habitants du Colorado.
La loi définit largement les « décisions importantes » comme incluant les décisions ayant un effet juridique important ou un effet significatif similaire sur les consommateurs dans des domaines tels que l'éducation, l'emploi, les services financiers, les services publics, la santé, le logement, l'assurance et les services juridiques. Cette portée étendue signifie que de nombreux systèmes d'IA utilisés dans des contextes destinés aux consommateurs seront couverts.
Un concept clé du Colorado AI Act est la « discrimination algorithmique » (algorithmic discrimination), définie comme toute situation dans laquelle l'utilisation d'un système d'IA entraîne un traitement ou un impact différencié illégal qui défavorise un individu ou un groupe sur la base de caractéristiques protégées, notamment l'âge, la couleur, le handicap, l'origine ethnique, l'information génétique, l'origine nationale, la race, la religion, le sexe et le statut d'ancien combattant.
Pour les développeurs de systèmes d'IA à haut risque, les obligations comprennent : fournir aux déployeurs une documentation sur les capacités, les limites et les risques connus du système ; mettre à disposition un résumé des données d'entraînement et des biais connus ; publier sur leur site web une déclaration sur les types de systèmes d'IA à haut risque qu'ils développent et sur la manière dont ils gèrent les risques de discrimination algorithmique ; et fournir aux déployeurs les informations nécessaires pour réaliser les évaluations d'impact.
Pour les déployeurs de systèmes d'IA à haut risque, les obligations comprennent : mettre en œuvre une politique et un programme de gestion des risques ; réaliser une évaluation d'impact pour chaque système d'IA à haut risque avant son déploiement ; informer les consommateurs que l'IA est utilisée pour prendre des décisions importantes ; fournir une déclaration sur la finalité, la nature et les limites du système d'IA ; offrir aux consommateurs la possibilité de corriger les données personnelles inexactes utilisées par le système d'IA ; et offrir aux consommateurs la possibilité d'un examen humain (avec recours) des décisions importantes défavorables.
La loi exige également des déployeurs qu'ils notifient au Colorado Attorney General, dans un délai de 90 jours, la découverte qu'un système d'IA à haut risque a causé une discrimination algorithmique. Cette obligation de notification crée une forte incitation à la surveillance continue et à la détection des biais.
L'application relève du Colorado Attorney General, qui détient le pouvoir d'exécution exclusif. Il n'existe aucun droit d'action privé. L'Attorney General peut demander des mesures d'injonction et des sanctions civiles. Surtout, la loi prévoit un moyen de défense affirmatif pour les développeurs et les déployeurs qui maintiennent des programmes de conformité raisonnables, y compris la conformité à des cadres reconnus de gestion des risques liés à l'IA tels que le NIST AI RMF ou ISO 42001.
Le Colorado AI Act a été influent, plusieurs autres États américains ayant introduit une législation similaire. Il représente une évolution importante dans la mosaïque de la réglementation américaine sur l'IA et fournit un modèle que d'autres États pourraient suivre ou adapter.
Les développeurs doivent fournir aux déployeurs la documentation du système, des résumés des données d'entraînement et des informations sur les risques
Les développeurs doivent publier une déclaration publique sur les systèmes d'IA à haut risque qu'ils développent
Les déployeurs doivent mettre en œuvre une politique et un programme de gestion des risques pour l'IA à haut risque
Les déployeurs doivent réaliser des évaluations d'impact avant de déployer des systèmes d'IA à haut risque
Informer les consommateurs que l'IA est utilisée pour des décisions importantes
Fournir aux consommateurs une description de la finalité et des limites du système d'IA
Permettre aux consommateurs de corriger les données personnelles inexactes utilisées par les systèmes d'IA
Offrir un examen humain et un recours pour les décisions importantes défavorables prises par l'IA
Notifier à l'Attorney General, dans un délai de 90 jours, la découverte d'une discrimination algorithmique
Conserver une documentation démontrant la conformité
Examen et mise à jour annuels des évaluations d'impact
Moyen de défense affirmatif disponible pour les programmes de conformité raisonnables
Le Colorado AI Act entre en vigueur le 30 juin 2026. La date d'entrée en vigueur initiale du 1er février 2026 a été repoussée par le SB 25B-004, promulgué par le gouverneur le 28 août 2025. Les organisations devraient disposer de politiques de gestion des risques, d'évaluations d'impact et de mécanismes de notification des consommateurs avant cette date.
Une décision importante est une décision qui a un effet juridique important ou un effet significatif similaire sur un consommateur dans des domaines tels que l'éducation, l'emploi, les services financiers, les services publics, la santé, le logement, l'assurance et les services juridiques.
Non. Seul le Colorado Attorney General détient le pouvoir d'exécution. Toutefois, la loi exige la notification à l'Attorney General des cas de discrimination algorithmique, ce qui crée une responsabilité. La conformité au NIST AI RMF ou à ISO 42001 constitue un moyen de défense affirmatif.
Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.