Beancount.io LogoBeancount.io

Colorado SB 26-189 : Guide de conformité IA 2027 pour les petites et moyennes entreprises

19 minutes de lectureMike ThriftMike Thrift
Colorado SB 26-189 : Guide de conformité IA 2027 pour les petites et moyennes entreprises

Si votre entreprise a passé les dix-huit derniers mois à élaborer un programme de conformité à la loi sur l'IA du Colorado axé sur des politiques de gestion des risques, des évaluations d'impact annuelles et des obligations de devoir de diligence contre la discrimination algorithmique, les règles viennent de changer. Le 14 mai 2026, le gouverneur du Colorado, Jared Polis, a signé le projet de loi Senate Bill 26-189, qui abroge et remplace la loi initiale sur l'IA du Colorado avant même que ses obligations fondamentales n'entrent en vigueur. Le nouveau cadre abandonne la norme de devoir de diligence, l'exigence d'un programme formel de gestion des risques et le mandat d'évaluation d'impact annuelle. À leur place se trouve un régime de transparence plus étroit, articulé autour d'avis de pré-utilisation, de divulgations après un résultat défavorable et d'un petit ensemble de droits des consommateurs liés à la « technologie de prise de décision automatisée couverte ».

Pour les fondateurs, les responsables RH, les prêteurs, les assureurs, les administrateurs de soins de santé, les propriétaires et les opérateurs SaaS qui ont dépensé des budgets de conseil sur le cadre initial SB 24-205, la réaction naturelle est le soulagement. Ce soulagement doit être tempéré. La nouvelle loi impose toujours des obligations réelles aux entreprises de presque toutes tailles, elle crée toujours un risque d'application par le procureur général du Colorado et elle vous oblige toujours à cartographier les points de contact de la technologie de prise de décision automatisée avec les décisions consécutives dans vos opérations. La charge de conformité est plus légère, mais elle n'est pas nulle, et la date d'entrée en vigueur du 1er janvier 2027 arrive plus vite que ce que la plupart des équipes prévoient une fois que les cycles budgétaires et les renégociations avec les fournisseurs sont pris en compte.

Ce guide détaille ce qui a changé, ce qui a survécu, qui est concerné, ce que vous devez faire spécifiquement avant le 1er janvier 2027, et comment coordonner les obligations du Colorado avec la mosaïque d'autres règles étatiques et fédérales sur l'IA qui s'appliquent désormais aux entreprises opérant dans plusieurs juridictions.

Ce qu'il est advenu de la loi initiale sur l'IA du Colorado

La loi initiale sur l'IA du Colorado, codifiée sous le nom de SB 24-205, a été signée en mai 2024 et devait entrer en vigueur le 1er février 2026. C'était la première loi étatique complète sur l'IA aux États-Unis, modelée approximativement sur l'approche par paliers de risque de la loi sur l'IA de l'Union européenne. Le cadre initial a suscité des critiques persistantes de la part des entreprises technologiques, des groupements d'affaires et des législateurs des deux partis, qui soutenaient qu'il punirait l'innovation locale, imposerait des coûts disproportionnés par rapport au risque réel de discrimination algorithmique et forcerait les petites entreprises à mettre en place des programmes de gouvernance comparables à ceux des institutions financières réglementées.

Lors de la session législative de 2025, l'Assemblée générale a reporté la date d'entrée en vigueur du 1er février 2026 au 30 juin 2026 pour donner aux législateurs le temps de réviser le statut. En mai 2026, la loi SB 26-189 a été adoptée et signée, abrogeant l'acte initial et le remplaçant par un cadre sensiblement plus étroit qui prendra effet le 1er janvier 2027. Le procureur général du Colorado est tenu d'achever l'élaboration des règles d'application d'ici cette même date, et son bureau a indiqué que l'application ne commencerait pas tant que ces règles ne seraient pas finalisées et que les entreprises n'auraient pas eu une occasion raisonnable de s'y conformer.

Le résultat pratique pour votre équipe de conformité : toute documentation, tout dossier de diligence raisonnable envers les fournisseurs ou tout modèle d'évaluation d'impact que vous avez élaboré selon le cadre SB 24-205 conserve une valeur de fondation, mais vous devez recalibrer vos efforts en fonction des obligations de la SB 26-189 plutôt que de la norme initiale de devoir de diligence.

Ce qui reste et ce qui disparaît

Comprendre la différence entre l'ancienne et la nouvelle loi est crucial car les consultants et les fournisseurs vendent toujours des cadres basés sur la SB 24-205. Voici ce qui a disparu, ce qui est nouveau et ce qui a survécu.

Supprimé de la loi initiale :

  • L'obligation de diligence raisonnable pour protéger les consommateurs contre la discrimination algorithmique
  • L'exigence d'une politique et d'un programme formels de gestion des risques
  • Le mandat d'évaluation d'impact annuelle couvrant l'objectif, les entrées de données, l'atténuation, la surveillance et le risque de discrimination
  • L'obligation de découverte et de divulgation sous 90 jours liée à une discrimination algorithmique détectée
  • Le cadre d'exemption pour les petits déployeurs avec son test à quatre volets (celui-ci est restructuré et non conservé textuellement)

Nouveau sous SB 26-189 :

  • Un champ d'application plus étroit centré sur la « technologie de prise de décision automatisée couverte » plutôt que sur le « système d'intelligence artificielle à haut risque »
  • Un cadre de notification en deux étapes : avis de pré-utilisation avant le déploiement dans une décision consécutive, plus une divulgation après un résultat défavorable sous 30 jours
  • Un droit pour les consommateurs d'accéder et de corriger les données personnelles utilisées par l'ADMT couverte
  • Un droit de demander un examen humain significatif des décisions consécutives, lorsque cela est techniquement possible
  • Une exigence d'accessibilité pour que tous les avis parviennent aux consommateurs handicapés ou ayant une maîtrise limitée de l'anglais
  • Un port de salut (safe harbor) permettant aux déployeurs de satisfaire à l'avis de pré-utilisation via une publication publique visible à proximité immédiate de l'interaction avec le consommateur

Conservé sur le fond :

  • La liste des catégories de décisions consécutives : éducation, emploi, services financiers ou de prêt, services gouvernementaux essentiels, services de santé, logement, assurance et services juridiques
  • Application exclusive par le procureur général du Colorado sans droit d'action privé
  • Traitement des violations comme des pratiques commerciales trompeuses en vertu de la loi sur la protection des consommateurs du Colorado
  • La distinction générale entre les développeurs (qui construisent ou modifient substantiellement l'ADMT) et les déployeurs (qui l'utilisent pour prendre des décisions consécutives concernant les consommateurs du Colorado)

Qui est concerné

La nouvelle loi s'applique à tout développeur ou déployeur de technologies de prise de décision automatisée (TPDA) visées qui prennent ou influencent de manière substantielle des décisions lourdes de conséquences concernant les consommateurs du Colorado. La portée géographique est déterminée par la résidence du consommateur, et non par l'emplacement de votre entreprise. Ainsi, une société SaaS fonctionnant entièrement en télétravail dont le siège est à Austin ou un cabinet de recrutement new-yorkais plaçant des candidats auprès d'employeurs du Colorado entre directement dans le champ d'application.

Une décision lourde de conséquences en vertu de la loi SB 26-189 est toute décision ayant un effet juridique matériel ou un effet tout aussi significatif sur la fourniture, le refus, le coût ou les conditions de services dans huit catégories : inscription ou opportunités d'études, emploi ou opportunités d'emploi, services financiers ou de prêt, services gouvernementaux essentiels, services de santé, logement, assurance ou services juridiques. Cette liste englobe la plupart des décisions à enjeux élevés que les petites et moyennes entreprises prennent chaque jour concernant les individus.

Des exemples concrets de cas d'utilisation couverts incluent les outils de tri de CV qui évaluent les candidats, les modèles d'analyse de crédit qui approuvent ou refusent des prêts, les moteurs de tarification d'assurance qui fixent les primes, les outils de sélection de locataires qui filtrent les demandes de location, le support à la décision clinique influençant la planification ou l'orientation des patients, les tuteurs IA ou les outils d'admission utilisés par les prestataires de formation en ligne, et les outils d'accueil ou de tri sur les sites de cliniques d'aide juridique ou de cabinets d'avocats. Les chatbots de service client, la personnalisation marketing, les outils de productivité interne et l'IA générative utilisée pour la rédaction de contenu tombent généralement hors du champ d'application, à moins qu'ils n'influencent matériellement l'une des décisions importantes répertoriées.

L'obligation de notification préalable à l'utilisation

Avant qu'un déployeur n'utilise une TPDA couverte pour influencer de manière substantielle une décision importante, il doit fournir au consommateur un avis clair et apparent indiquant que la TPDA est ou sera utilisée. L'avis doit décrire en langage simple l'objectif du système, le type de décision importante dans laquelle il intervient et la manière dont le consommateur peut exercer les droits accordés par la loi.

La clause de « port d'attache » (safe harbor) est ici cruciale. Plutôt que de signifier un avis individuel au moment de chaque interaction, la loi vous permet de satisfaire à cette obligation par une publication publique bien visible, raisonnablement accessible aux points d'interaction avec le consommateur. En pratique, cela signifie qu'une page de divulgation sur l'IA clairement liée sur votre portail d'application, votre flux de demande de prêt, votre page d'accueil de sélection des locataires ou votre portail d'accueil des patients suffira généralement, à condition que le lien soit visuellement proche de la transaction concernée et que le texte de divulgation soit rédigé pour un lecteur profane.

Trois erreurs de rédaction à éviter. Premièrement, ne dissimulez pas la divulgation dans une politique de confidentialité générique ; la loi exige qu'elle soit raisonnablement proche de la transaction concernée. Deuxièmement, ne vous appuyez pas sur le jargon du secteur comme « technologie de prise de décision automatisée » ou « TPDA » sans l'expliquer ; l'exigence d'accessibilité couvre l'accessibilité cognitive et linguistique, pas seulement la compatibilité avec les lecteurs d'écran. Troisièmement, ne rédigez pas d'avis qui minimisent le rôle de l'IA dans la décision ; un langage vague tel que « nous pouvons utiliser la technologie pour nous aider » ne satisfera pas à une norme de langage clair capable de résister à l'examen du Procureur Général.

La divulgation des résultats défavorables sous 30 jours

Lorsqu'une TPDA couverte influence de manière substantielle une décision importante entraînant un résultat défavorable pour le consommateur, le déployeur doit fournir une description en langage simple du rôle de la TPDA dans les 30 jours suivant la décision. Un résultat défavorable comprend le refus d'une demande, la résiliation d'un service existant, une tarification nettement moins favorable ou toute décision réduisant un avantage que le consommateur recevrait autrement.

La divulgation n'exige pas la révélation de secrets commerciaux, de poids de modèles ou d'algorithmes propriétaires. Ce qu'elle exige, c'est une description compréhensible par un consommateur moyen de ce que le système a pris en compte, du rôle qu'il a joué dans la décision, des catégories de données à caractère personnel qu'il a traitées et de la manière dont le consommateur peut exercer ses droits d'accès, de rectification et de révision humaine. Des variations de contenu spécifiques au secteur sont autorisées : ainsi, la divulgation d'une mesure défavorable par un prêteur peut s'appuyer sur les formats d'avis existants de la Réglementation B de l'Equal Credit Opportunity Act, et la divulgation d'un déployeur de santé peut s'appuyer sur les normes de communication avec les patients déjà en place.

Coordonnez cette démarche avec les obligations de divulgation fédérales adjacentes plutôt que de la traiter comme une voie parallèle. Si vous envoyez déjà un avis de mesure défavorable au titre du Fair Credit Reporting Act, un avis de mesure prise au titre de l'Equal Credit Opportunity Act ou une communication conforme à la loi HIPAA, élargissez l'avis existant plutôt que de créer une lettre redondante spécifique au Colorado. Le délai de 30 jours prévu par la loi SB 26-189 est généralement compatible avec le calendrier de ces avis fédéraux, bien que vous deviez vérifier les échéances au cas par cas car des exceptions existent.

Droits des consommateurs à l'accès, à la rectification et à la révision humaine

Trois droits des consommateurs existent sous ce nouveau cadre. Les consommateurs peuvent demander l'accès aux données à caractère personnel traitées à leur sujet par la TPDA couverte. Les consommateurs peuvent demander la rectification de données à caractère personnel inexactes. Enfin, les consommateurs peuvent demander une révision humaine significative de la décision importante lorsque cela est techniquement réalisable.

Les droits d'accès et de rectification recoupent largement les droits qui existent déjà dans le cadre de la loi sur la protection de la vie privée du Colorado (Colorado Privacy Act - CPA) pour les données à caractère personnel en général. Sur le plan opérationnel, l'approche la plus simple consiste à étendre votre flux de travail existant de demande des personnes concernées par la CPA pour gérer les demandes spécifiques aux TPDA, plutôt que de créer un canal de réception distinct. Identifiez quels systèmes contiennent quelles catégories de données à caractère personnel utilisées dans les TPDA, formez votre équipe de réception (protection de la vie privée ou RH) sur les nouvelles catégories et documentez vos délais de réponse.

Le droit à la révision humaine est la question de conformité la plus intéressante. La loi exige une révision humaine significative lorsque cela est techniquement réalisable, ce qui n'est pas la même chose qu'une validation automatique humaine du résultat algorithmique. Une révision significative exige généralement qu'une personne ayant l'autorité d'annuler la décision examine réellement la situation du consommateur, prenne en compte des informations au-delà du score algorithmique et ait la capacité pratique de parvenir à une conclusion différente. La réserve « techniquement réalisable » excuse les cas où la décision sous-jacente ne peut pas du tout être révisée de manière significative par un humain, mais elle n'excuse pas de simples inconvénients ou coûts.

Obligations des Développeurs

Les développeurs d'ADMT visés ont des obligations parallèles centrées sur la fourniture aux déployeurs de ce dont ils ont besoin pour se conformer en aval. Le cadre original de la SB 24-205 exigeait que les développeurs maintiennent une documentation approfondie sur les sources de données d'entraînement, les mesures de performance, les cas d'utilisation prévus et les risques connus de discrimination algorithmique. Sous la SB 26-189, ces obligations sont réduites mais non éliminées.

Un développeur doit fournir aux déployeurs une documentation suffisante pour que le déployeur satisfasse à ses obligations de notification et de divulgation, y compris une description des cas d'utilisation prévus de l'ADMT, les catégories de données à caractère personnel qu'il traite, les catégories de résultats qu'il génère et les limitations connues pertinentes pour le contexte de la décision conséquente. Les développeurs doivent également publier une déclaration publique résumant les ADMT visés qu'ils proposent et la manière dont ils gèrent les risques liés aux décisions conséquentes.

Si vous vendez ou concédez sous licence des outils d'IA utilisés par des déployeurs du Colorado, la discussion sur le contrat avec le fournisseur a déjà commencé. Attendez-vous à ce que les clients déployeurs demandent des fiches de modèle (model cards) standardisées, des feuilles de données (data sheets) et des représentations contractuelles spécifiques aux ADMT. Prenez les devants en préparant une divulgation ADMT d'une page que vous pourrez joindre aux accords-cadres de services (MSA) et aux dossiers de renouvellement.

Considérations pour les Petites Entreprises

L'exemption originale pour les petits déployeurs de la SB 24-205 était un test à quatre volets qui dispensait les déployeurs de moins de 50 employés en équivalent temps plein de l'exigence d'évaluation d'impact sous des conditions étroites. La SB 26-189 restructure le traitement des petites entreprises plutôt que de préserver l'exemption mot pour mot, car l'exigence d'évaluation d'impact sous-jacente n'existe plus.

Pour la plupart des petits et moyens déployeurs, l'empreinte pratique de conformité sous la nouvelle loi est véritablement modeste : maintenir une page de divulgation ADMT claire et raisonnablement accessible au point d'interaction avec le consommateur, mettre en place un processus de réponse aux résultats défavorables sous 30 jours, étendre votre flux de travail existant de demandes des personnes concernées pour couvrir l'accès et la correction des données ADMT, et documenter un processus de révision humaine pour les décisions que l'algorithme influence matériellement. La plupart des entreprises bien gérées peuvent mettre cela en place en quelques semaines de travail ciblé, surtout si elles ont déjà un programme pour la Loi sur la protection de la vie privée du Colorado (Colorado Privacy Act) en place.

Les principaux facteurs de coûts pour les petites entreprises ne sont pas les notifications elles-mêmes, mais le travail en amont consistant à inventorier où les ADMT visés existent dans l'entreprise. Une surprise courante est de découvrir qu'un outil SaaS prêt à l'emploi avec des fonctionnalités d'IA intégrées par le fournisseur fonctionne comme un ADMT visé aux fins de décisions conséquentes, même si l'entreprise déployeuse n'a jamais pensé déployer de l'IA. Les plateformes de sélection des locataires, les assistants de souscription automatisés, les outils d'embauche augmentés par l'IA et les modules d'aide à la décision clinique intégrés dans les systèmes de dossiers médicaux électroniques (DME) sont tous des inclusions surprises courantes.

How This Coordinates With Other AI and Privacy Laws

Le Colorado ne légifère pas en vase clos, et un programme de conformité coordonné est nettement moins coûteux à gérer qu'une série de silos état par état. Les points de coordination clés à prévoir en 2026 et 2027 :

Colorado Privacy Act. La CPA accorde déjà aux consommateurs du Colorado des droits d'accès, de correction et de suppression des données, et impose déjà des obligations de retrait liées au profilage et d'évaluation de la protection des données aux responsables de traitement effectuant un « profilage en vue de décisions produisant des effets juridiques ou similairement significatifs ». Votre programme CPA est la base naturelle de votre programme SB 26-189 car les flux de travail pour les demandes des personnes concernées, les modèles de contrats avec les fournisseurs et l'infrastructure de notification aux consommateurs se chevauchent largement.

NYC Local Law 144. La ville de New York exige des audits de biais indépendants annuels pour les outils de décision d'emploi automatisés utilisés pour filtrer les résidents de NYC. La SB 26-189 ne nécessite pas d'audit de biais, mais la documentation produite pour un audit LL 144 constitue une preuve de soutien utile indiquant que vous avez pris en compte le risque de discrimination algorithmique si le procureur général du Colorado vient poser des questions.

Loi de l'Illinois sur les entretiens vidéo par IA et l'AB 2930 de Californie. Toutes deux imposent des obligations de notification de l'IA dans le contexte de l'embauche qui chevauchent les divulgations dans le contexte de l'emploi du Colorado. Créez un avis d'IA d'embauche unifié qui satisfait aux trois plutôt que trois avis distincts.

EU AI Act. Si vous servez également des utilisateurs de l'UE, les exigences de documentation des systèmes à haut risque et de surveillance humaine de l'IA Act de l'UE sont nettement plus strictes que le nouveau cadre du Colorado. La documentation de l'UE peut généralement satisfaire aux obligations du Colorado avec une légère adaptation.

Application de l'EEOC et du DOJ. L'assistance technique du titre VII de l'EEOC de mai 2023 sur les procédures de sélection des employés par l'IA et les priorités d'application de l'ADA par le ministère de la Justice créent toutes deux un risque de discrimination fédérale dans l'IA de l'emploi qui existe indépendamment des lois de notification des États. Le respect des obligations de notification du Colorado ne vous protège pas de l'application fédérale des droits civils.

NIST AI RMF. L'alignement de votre gouvernance interne sur le cadre de gestion des risques liés à l'IA du NIST (NIST AI Risk Management Framework 1.0) n'est pas légalement requis par la SB 26-189, mais est largement accepté comme une base défendable par les régulateurs de toutes les juridictions et par les entreprises clientes effectuant des vérifications préalables sur les fournisseurs d'IA.

Une feuille de route pratique de douze semaines pour la conformité

Pour une petite ou moyenne entreprise partant de zéro, le travail nécessaire pour être prêt au 1er janvier 2027 se divise en quatre phases.

Semaines 1 à 3 - Inventaire. Identifiez chaque outil, fournisseur ou système interne qui prend ou influence de manière significative toute décision dans les huit catégories de décisions importantes concernant les consommateurs du Colorado. Incluez les fonctionnalités d'IA intégrées dans les logiciels SaaS tiers. Pour chacun, déterminez s'il s'agit d'une ADMT (technologie de prise de décision automatisée) concernée et documentez l'identité du développeur.

Semaines 4 à 6 - Alignement des fournisseurs. Contactez chaque développeur d'ADMT concernée et demandez l'ensemble de la documentation qu'ils fourniront pour soutenir vos obligations de notification et de divulgation. Négociez les avenants contractuels nécessaires pour couvrir l'indemnisation, l'assistance à la correction des données et la coopération en cas de réponse à un résultat défavorable.

Semaines 7 à 9 - Conception des notifications et des processus. Rédigez la page de notification préalable à l'utilisation, le modèle de divulgation des résultats défavorables, les extensions du flux de travail pour les demandes des personnes concernées (DSR) et le processus de révision humaine. Soumettez chacun d'eux à une révision de langage clair et d'accessibilité. Formez le personnel en contact avec la clientèle, les RH et les équipes de souscription.

Semaines 10 à 12 - Lancement et préparation à l'audit. Publiez les notifications, passez les nouveaux processus en production et constituez le dossier de documentation qu'un enquêteur du Procureur général pourrait demander : contrats des fournisseurs, captures d'écran des notifications, journaux de réponses, registres de révision humaine et listes de formation. Planifiez un audit interne dans six mois.

Une équipe qui commence mi-2026 dispose d'une marge de manœuvre confortable. Une équipe qui attend le quatrième trimestre devra se précipiter, d'autant plus que le cycle d'avenant aux contrats des fournisseurs prend généralement 60 à 90 jours à l'échelle de l'entreprise.

Gardez vos registres de conformité aussi transparents que votre comptabilité

Que vous cartographiiez les inventaires d'ADMT, suiviez les divulgations de résultats défavorables ou constituiez le dossier de documentation justifiable lors d'un audit qu'un enquêteur du procureur général pourrait demander, le même principe s'applique aux registres de conformité qu'aux registres financiers : la transparence, le contrôle de version et la capacité de reconstruire n'importe quel chiffre à n'importe quel moment comptent plus que le format. Beancount.io propose une comptabilité en texte brut qui vous offre une visibilité complète sur vos données financières, sans boîtes noires ni dépendance vis-à-vis d'un fournisseur. Commencez gratuitement et découvrez pourquoi les développeurs, les équipes financières et les opérateurs soucieux de la conformité passent à la comptabilité en texte brut.

Sources :