Le Colorado adopte une nouvelle loi sur l'IA pour protéger les interactions avec les consommateurs

Le vendredi 17 mai 2024, le gouverneur du Colorado, Jared Polis, a signé la loi SB205 (Consumer Protections for Interactions with Artificial Intelligence) avec une date d'entrée en vigueur au 1er février 2026.

Contrairement aux lois sur l'intelligence artificielle (IA) adoptées dans d'autres États (tels que l'Utah et la Floride), la nouvelle loi est la première législation complète des États-Unis visant les "systèmes d'intelligence artificielle à haut risque". En particulier, la loi exige que les développeurs et les entités qui déploient des systèmes d'intelligence artificielle à haut risque fassent preuve d'une diligence raisonnable pour empêcher la discrimination algorithmique et présente une présomption réfutable que la diligence raisonnable a été utilisée s'ils répondent à certaines exigences et divulguent publiquement certaines informations sur ces systèmes d'intelligence artificielle à haut risque.

Bien que la loi ne réglemente guère l'utilisation des systèmes d'IA qui ne sont pas considérés comme "à haut risque", elle pourrait néanmoins servir de modèle à d'autres législateurs qui envisagent une réglementation.

Champ d'application

Contrairement au Colorado Privacy Act, la loi s'applique à tous les développeurs et déployeurs (c'est-à-dire les entreprises) qui utilisent des "systèmes d'intelligence artificielle à haut risque" et qui exercent leurs activités au Colorado, quel que soit le nombre de consommateurs concernés.

Systèmes d'IA à haut risque

La loi définit les "systèmes d'IA à haut risque" comme ceux qui prennent ou sont un facteur substantiel dans la prise de décisions "conséquentes". Elle définit un "facteur substantiel" comme un facteur qui aide à prendre une décision conséquente, qui est capable de modifier le résultat d'une décision substantielle ou qui est généré par un système d'IA. Parmi les systèmes d'IA explicitement considérés comme des "systèmes d'IA à haut risque" au sens de la loi, on peut citer les systèmes d'IA utilisés dans les domaines suivants

Inscription ou possibilité d'éducation
Emploi ou opportunité d'emploi
Services financiers ou de prêt
Services publics essentiels
Services de soins de santé
Logement
Assurance
Services juridiques

La loi exclut les systèmes d'IA qui : (i) exécutent des tâches procédurales limitées ; ou (ii) détectent des schémas de prise de décision ou des écarts par rapport à des schémas de prise de décision antérieurs et ne sont pas destinés à remplacer ou à influencer l'évaluation ou l'examen humain. La loi exclut également certaines technologies, telles que les logiciels de cybersécurité et le filtrage des spams, lorsqu'elles ne constituent pas un facteur substantiel dans la prise de décisions conséquentes.

Discrimination algorithmique

La loi exige que les développeurs et les déployeurs de systèmes d'IA à haut risque fassent preuve d'une diligence raisonnable pour éviter la discrimination algorithmique, c'est-à-dire toute condition entraînant une différence de traitement ou d'impact illégale fondée sur l'âge, la couleur, le handicap, l'ethnicité, l'information génétique, les barrières linguistiques, l'origine nationale, la race, la religion, la santé reproductive, le sexe, le statut de vétéran ou d'autres classifications, réelles ou perçues. Toutefois, la loi exclut toute discrimination pouvant résulter de l'utilisation d'un système d'IA à haut risque par un développeur ou une entreprise déployant le système dans le seul but de.. :

Autocontrôler leurs propres systèmes afin d'identifier et de rectifier les incidents ou les risques de comportements/résultats discriminatoires.
L'élargissement d'un groupe de candidats, de clients ou de participants afin d'accroître la diversité ou de remédier à une discrimination historique.

La loi exclut également les actes ou omissions d'un club privé ou d'un autre établissement qui n'est pas ouvert au public.

Responsabilités du développeur

La loi crée une présomption réfutable selon laquelle le développeur d'un système d'IA a fait preuve d'une diligence raisonnable pour éviter la discrimination algorithmique si le développeur suit certaines procédures dans son développement, notamment :

Fournir aux utilisateurs de ces systèmes d'IA à haut risque des informations sur le système, y compris son objectif, les avantages escomptés, l'utilisation prévue, le fonctionnement, les risques potentiels et toute discrimination algorithmique connue ou prévisible. Le développeur doit également fournir des informations sur la manière dont le système a été formé et évalué en termes de performances et de preuves de discrimination algorithmique.
Fournir aux déployeurs toute la documentation nécessaire à la réalisation d'une analyse d'impact du système d'IA à haut risque.
Mettre à la disposition du public des informations résumant les types de systèmes à haut risque développés ou modifiés intentionnellement par le développeur.
Fournir aux déployeurs des informations sur la manière dont le développeur lui-même gère tout risque raisonnable ou prévisible de discrimination algorithmique au cours du développement et en cas de modification ultérieure du système d'IA à haut risque.
divulguer au procureur général de l'État du Colorado et aux déployeurs tout risque connu ou raisonnablement prévisible de discrimination algorithmique dans un délai de 90 jours à compter de la date à laquelle ils ont été informés de ces risques.

Les développeurs qui ne suivent pas ces procédures risquent d'avoir du mal à prouver qu'ils ont fait preuve d'une attention raisonnable pour éviter la discrimination algorithmique.

Responsabilités de l'utilisateur

Les entreprises qui déploient ces systèmes d'IA sont également tenues de faire preuve d'une diligence raisonnable pour protéger les consommateurs contre tout risque de discrimination connu ou prévisible. La loi crée une présomption réfutable à deux niveaux selon laquelle l'entreprise qui déploie un système d'IA a fait preuve d'une diligence raisonnable pour éviter la discrimination algorithmique si elle suit certaines procédures, notamment :

Pour tous les utilisateurs :

Examiner au moins une fois par an le déploiement de chaque système d'IA à haut risque afin de détecter tout signe de discrimination algorithmique.
Fournir des informations à un consommateur sur les décisions conséquentes prises à son égard par des systèmes d'IA à haut risque et lui donner la possibilité de corriger toute donnée personnelle incorrecte susceptible d'être utilisée pour prendre une telle décision conséquente. Les déploiements doivent également donner aux consommateurs la possibilité de faire appel d'une décision consécutive défavorable prise par un système d'IA à haut risque par le biais d'un examen humain (si cela est techniquement possible).
Révéler au procureur général de l'État du Colorado, dans les 90 jours suivant la découverte, que le système d'IA à haut risque a causé ou est raisonnablement susceptible d'avoir causé une discrimination algorithmique.

Uniquement pour les entreprises qui, à tout moment où le système d'IA à haut risque est déployé, satisfont à l'ensemble des exigences suivantes : (a) avoir plus de cinquante (50) employés à temps plein, (b) ne pas utiliser les propres données du déployeur pour former le système d'IA à haut risque ; et (c) utiliser le système d'IA à haut risque uniquement pour les utilisations prévues divulguées par le déployeur.

Mettre en œuvre des politiques et des programmes de gestion des risques pour le système d'IA à haut risque.
Réaliser une analyse d'impact de chaque système d'IA à haut risque.
Mettre à la disposition du public des informations résumant les types de systèmes à haut risque déployés, ainsi que des informations sur la manière dont le déployeur gère tout risque connu ou prévisible de discrimination algorithmique.
rendre publiques les informations relatives à la nature, à la source et à l'étendue des informations collectées et utilisées par le responsable du déploiement dans le système d'IA à haut risque.

Exigences supplémentaires

La loi exige en outre que tout développeur ou déployeur qui met à disposition un système d'IA destiné à interagir avec les consommateurs indique à ces derniers qu'ils interagissent avec un système d'IA et non avec une personne en chair et en os.

Autres exclusions

La loi ne s'applique pas à un développeur ou à un déployeur qui s'engage dans des activités spécifiques, notamment pour se conformer à d'autres lois fédérales, étatiques ou municipales, pour coopérer et mener des enquêtes spécifiques, pour prendre des mesures visant à protéger la vie ou la sécurité physique d'un consommateur et pour mener certaines activités de recherche.

Application de la loi

La loi ne prévoit pas de droit d'action privé et laisse au procureur général de l'État du Colorado le soin de veiller à l'application de la loi. Le procureur général a également le pouvoir discrétionnaire, en vertu de la loi, de mettre en œuvre d'autres règles, notamment des règles supplémentaires en matière de documentation et d'exigences pour les développeurs, des exigences en matière d'avis et d'informations, des exigences en matière de politiques de gestion des risques et d'évaluations d'impact, des ajustements du champ d'application et des orientations liés à toute présomption réfutable, et des exigences en matière de défenses contre l'application de la loi.

Toutefois, la loi offre également aux développeurs et aux déployeurs une défense affirmative s'ils sont en conformité avec d'autres cadres de gestion des risques liés à l'IA reconnus au niveau national ou international et spécifiés soit dans le projet de loi, soit par le procureur général. Actuellement, ce cadre comprend le cadre de gestion des risques liés à l'IA du NIST et la norme ISO/IEC 42001.

Impacts sur les entreprises

La nouvelle loi fournit en fin de compte aux développeurs et aux entreprises déployant des systèmes d'IA à haut risque un cadre sur la façon dont ils peuvent évaluer et faire preuve de diligence raisonnable pour éviter la discrimination algorithmique. Bien que la nouvelle loi n'entre pas en vigueur avant le 1er février 2026, les développeurs et les déployeurs de systèmes d'IA à haut risque pourraient devoir consacrer des ressources importantes pour satisfaire à leurs obligations en matière de documentation et autres avant l'entrée en vigueur de la nouvelle loi.

Les développeurs devraient entreprendre les actions suivantes pour se préparer à la nouvelle loi :

Commencer à compiler, ou mieux encore, créer au moment où le système d'IA à haut risque est conceptualisé ou créé, toute la documentation nécessaire qui doit être divulguée aux consommateurs ou mise à la disposition des déployeurs pour qu'ils puissent procéder à une évaluation d'impact. Une description de la manière dont le développeur forme le système d'IA à haut risque et de la manière dont il teste et corrige les discriminations algorithmiques potentielles devrait figurer en bonne place dans cette documentation.
Soyez prêts à répondre et à fournir des documents supplémentaires aux personnes qui déploient ces systèmes d'IA à haut risque et qui peuvent exiger une documentation plus détaillée ou remettre en question le contenu de la documentation.
Commencer à rédiger les déclarations publiques concernant les types de systèmes à haut risque que le développeur a mis au point (ou qu'il a intentionnellement et substantiellement modifiés) et se préparer à décrire et éventuellement à défendre la manière dont le développeur gère les risques connus ou prévisibles de discrimination algorithmique.
Commencer à mettre en place des politiques (avec un examen juridique approprié et d'autres parties prenantes) pour notifier au procureur général la discrimination algorithmique causée ou raisonnablement susceptible d'être causée par le système d'intelligence artificielle à haut risque.

Les utilisateurs, quant à eux, devraient entreprendre les actions suivantes pour se préparer à la nouvelle loi :

Commencer à élaborer une politique et un programme de gestion des risques fondés sur un cadre normalisé de gestion des risques liés à l'IA, tel que le cadre de gestion des risques liés à l'IA du NIST et/ou la norme ISO/IEC 42001.
Commencer à élaborer une évaluation d'impact pour les systèmes d'IA à haut risque qu'ils déploient, et être prêts à demander plus d'informations aux développeurs si nécessaire.
Mettre en place des procédures pour examiner chaque système d'IA à haut risque de discrimination algorithmique au moins une fois par an (plus souvent en cas de changement significatif du système ou de l'utilisation d'un tel système).
Envisager de rédiger des formulaires de notification aux consommateurs contenant tous les éléments requis si un système d'IA à haut risque prend une décision conséquente concernant le consommateur, et donner aux consommateurs la possibilité de faire appel d'une telle décision en vue d'un examen humain.
Commencer à élaborer des procédures permettant aux consommateurs de corriger toute donnée personnelle incorrecte utilisée par les systèmes d'IA à haut risque. Les entreprises soumises à la loi sur la protection de la vie privée du Colorado savent déjà comment donner aux consommateurs le droit de corriger des données personnelles incorrectes et comment vérifier que les données personnelles étaient incorrectes à l'origine.
Commencer à rédiger les déclarations publiques concernant les types de systèmes à haut risque actuellement déployés et les informations sur la manière dont les risques connus ou prévisibles de discrimination algorithmique sont gérés. Les entreprises soumises à la loi sur la protection de la vie privée du Colorado connaissent déjà l'obligation d'inclure dans ces déclarations publiques la nature, la source et l'étendue des informations collectées et utilisées par l'entreprise qui les déploie.
Commencer à mettre en place des politiques (avec un examen juridique approprié et d'autres parties prenantes) pour notifier au procureur général la discrimination algorithmique causée ou raisonnablement susceptible d'être causée par un système d'IA à haut risque.

Les développeurs et les déployeurs devraient également continuer à suivre toute nouvelle directive du procureur général de l'État du Colorado. Si l'on se réfère aux réglementations émises par le procureur général en vertu de la loi sur la protection de la vie privée du Colorado, les réglementations supplémentaires émises pourraient être étendues et exiger plus de détails que ce que la loi exige à première vue.

Pour en savoir plus

Pour approfondir ce que cette nouvelle loi signifie pour les employeurs et l'utilisation des systèmes d'IA dans le contexte des ressources humaines, l'équipe Labor & Employment de Foley a créé un abécédaire sur l'impact attendu. Cliquez ici pour lire l'article complémentaire.

Si vous avez d'autres questions concernant les exigences de cette loi, veuillez contacter l'un des auteurs ou d'autres partenaires ou avocats-conseils de Foley & Lardner dans le domaine de l'intelligence artificielle .

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.