Le Colorado AI Act : la loi étatique la plus complète d’Amérique face à l’heure de vérité

Le modèle de la réglementation américaine de l’IA

Le Colorado Senate Bill 24-205 — le Colorado Artificial Intelligence Act — est la réglementation étatique de l’IA la plus complète aux États-Unis. Signé par le gouverneur Jared Polis le 17 mai 2024, cette loi impose des exigences larges à tous les « systèmes IA à haut risque » dans tous les secteurs, établissant des évaluations d’impact, des obligations de transparence envers les consommateurs et des notifications de droit de refus pour les résidents du Colorado. Elle est devenue le modèle de référence à l’aune duquel chaque proposition étatique ultérieure en matière d’IA est mesurée.

Le parcours de la loi, de son adoption à sa mise en œuvre, a été tout sauf linéaire. Le gouverneur Polis lui-même a exprimé des réserves dans sa déclaration de signature, encourageant les auteurs du projet de loi à « améliorer significativement » leur approche avant l’entrée en vigueur du SB 205, et appelant spécifiquement le gouvernement fédéral à adopter une législation qui préempterait le texte qu’il venait de signer.

Initialement prévue pour entrer en vigueur le 1er février 2026, la législature du Colorado a tenu une session spéciale en août 2025 au cours de laquelle plusieurs projets de loi d’amendement ont été introduits pour réviser le AI Act. Les propositions allaient du rétrécissement de la définition de « décision conséquente » à l’emploi et à la sécurité publique, à l’exemption des entreprises de moins de 250 employés ou réalisant moins de 5 millions de dollars de chiffre d’affaires annuel. Aucune n’a obtenu le consensus nécessaire. Finalement, un seul projet de loi lié à l’IA a été approuvé : le SB 25B-004, signé par le gouverneur Polis le 28 août 2025, qui a simplement reporté la date d’entrée en vigueur au 30 juin 2026, donnant aux législateurs une nouvelle chance d’amender la loi pendant la session ordinaire de 2026.

Parallèlement, le décret exécutif de l’administration Trump du 11 décembre 2025, intitulé « Ensuring a National Policy Framework for Artificial Intelligence », a placé le Colorado AI Act directement dans la ligne de mire. Le décret charge le procureur général d’établir un DOJ AI Litigation Task Force dans les 30 jours pour contester les lois étatiques sur l’IA jugées incompatibles avec la politique de l’administration visant à maintenir un « cadre politique national minimalement contraignant » pour l’IA. Le Department of Commerce dispose de 90 jours pour publier une évaluation des lois étatiques existantes sur l’IA et identifier les réglementations « contraignantes ». Le décret exécutif critique spécifiquement les exigences du Colorado, affirmant qu’elles pourraient contraindre les systèmes IA à produire des résultats faux pour éviter le traitement différencié des groupes protégés.

Le résultat est une loi qui existe dans un état d’incertitude suspendue. La session législative du Colorado 2026 — qui se termine le 13 mai 2026 — représente la dernière fenêtre pour des amendements avant l’échéance du 30 juin. Pourtant, début 2026, il y a eu très peu d’activité législative ou de discussions sur des modifications de la loi de la part de la législature, du bureau du gouverneur ou du procureur général.

Ce que le Colorado AI Act exige

Le Colorado AI Act établit deux catégories d’entités réglementées — les « développeurs » (qui créent des systèmes IA à haut risque) et les « déployeurs » (qui les utilisent) — et impose des obligations distinctes à chacune.

Pour les développeurs, les obligations principales sont la transparence et la documentation. Avant de rendre disponible un système IA à haut risque, les développeurs doivent fournir aux déployeurs une documentation complète incluant une description en langage clair des utilisations prévues et des limites connues du système, les types de données utilisées pour entraîner le système, les risques connus ou raisonnablement prévisibles de discrimination algorithmique, une description des mesures de gouvernance des données utilisées pendant le développement, et les résultats de toute évaluation menée pour évaluer la performance du système entre groupes démographiques. Cette documentation peut inclure des artefacts standards de l’industrie tels que les fiches de modèle (model cards) et les fiches de jeu de données (dataset cards).

Les développeurs doivent également faire une divulgation publique sur leur site web de tout système IA à haut risque qu’ils ont développé et de la manière dont ils gèrent les risques connus ou raisonnablement prévisibles de discrimination algorithmique. De plus, les développeurs doivent signaler au procureur général du Colorado et à tous les déployeurs connus tout risque découvert de discrimination algorithmique dans les 90 jours.

Pour les déployeurs, les obligations sont plus étendues et plus exigeantes sur le plan opérationnel. Avant de déployer un système IA à haut risque, les déployeurs doivent réaliser une évaluation d’impact complète qui évalue l’objectif et les bénéfices prévus du système, les catégories d’individus affectés et la nature des décisions que le système influence, les données d’entrée du système et les mesures de gouvernance appliquées à ces données, les métriques utilisées pour évaluer la performance du système, le risque de discrimination algorithmique et les mesures prises pour l’atténuer, les mesures de transparence fournies aux individus affectés, et les mécanismes de supervision humaine en place.

L’évaluation d’impact doit être complétée avant le déploiement, mise à jour annuellement et révisée dans les 90 jours suivant toute modification intentionnelle et substantielle du système. Toute la documentation doit être conservée pendant au moins trois ans et mise à disposition du procureur général du Colorado dans les 90 jours suivant une demande.

Les déployeurs doivent également mettre en œuvre une politique de gestion des risques alignée sur des normes reconnues telles que le NIST AI Risk Management Framework ou ISO/IEC 42001. Les consommateurs doivent être informés lorsqu’ils interagissent avec un système IA et recevoir les raisons des décisions conséquentes défavorables, avec le droit de corriger les inexactitudes ou de faire appel.

Le débat sur la définition du « haut risque »

La portée du Colorado AI Act repose sur sa définition de « système IA à haut risque ». La loi le définit comme tout système IA qui, lorsqu’il est déployé, prend ou est un facteur substantiel dans la prise d’une « décision conséquente ». Une « décision conséquente » est définie comme une décision ayant un effet juridique matériel ou un effet significativement similaire sur un consommateur dans des domaines incluant l’éducation, l’emploi, les services financiers, les services gouvernementaux, la santé, le logement, l’assurance et les services juridiques.

Cette définition est intentionnellement large. Contrairement au EU AI Act, qui fournit une liste spécifique de cas d’usage à haut risque, le Colorado Act utilise une définition fonctionnelle qui capture tout système IA prenant des décisions significatives dans l’un des domaines énumérés. L’ampleur de cette définition est à la fois la plus grande force et la caractéristique la plus controversée de la loi.

Les partisans soutiennent qu’une définition large est nécessaire car les risques des décisions pilotées par l’IA ne se limitent pas à des cas d’usage spécifiques. Un système IA qui recommande le refus d’une demande de prêt et un système IA qui recommande un traitement médical spécifique prennent tous deux des décisions conséquentes concernant des individus, et tous deux devraient être soumis à des exigences d’évaluation d’impact et de transparence, qu’ils figurent ou non sur une liste prédéterminée.

Les critiques soutiennent que la définition large crée un mandat de conformité si étendu qu’il est pratiquement inapplicable. Les petites entreprises utilisant des outils IA standard pour la planification, le service client ou la gestion des stocks pourraient se retrouver soumises à des exigences d’évaluation d’impact conçues pour des systèmes de prise de décision à enjeux élevés. Le procureur général du Colorado détient l’autorité d’application exclusive, mais l’ampleur des systèmes couverts soulève des questions sur l’efficacité de la supervision.

La session spéciale et les réformes avortées

La session spéciale d’août 2025 convoquée par le gouverneur Polis a représenté la tentative la plus sérieuse de remodeler le AI Act avant sa mise en œuvre. Plusieurs projets de loi ont été introduits, chacun reflétant des priorités différentes des parties prenantes.

Le Senate Bill 25B-004, introduit par le leader de la majorité au Sénat Robert Rodriguez sous le nom de « AI Sunshine Act », proposait initialement de réduire substantiellement la portée de la loi. Son projet initial aurait rétréci la définition de « décision conséquente » aux contextes de l’emploi et de la sécurité publique et proposait d’exempter les entreprises de moins de 250 employés et celles réalisant moins de 5 millions de dollars de chiffre d’affaires annuel. Cette approche répondait aux préoccupations légitimes de conformité des petites entreprises mais a été vidée de sa substance au cours du processus législatif.

Le House Bill 25B-1008 se concentrait sur la transparence et la protection des consommateurs, exigeant que les systèmes IA divulguent au début de toute interaction avec un consommateur qu’ils ne sont pas humains.

Le Senate Bill 25B-008 cherchait à clarifier que les lois anti-discrimination existantes du Colorado s’appliquent pleinement aux comportements exécutés ou facilités par l’IA, les systèmes algorithmiques ou autres technologies numériques.

Malgré le soutien bipartisan pour la réforme, aucune des propositions d’amendement substantielles n’a obtenu une traction suffisante. Les législateurs ont choisi de reporter la mise en œuvre plutôt que d’adopter des réformes partielles. La version finale du SB 25B-004 que le gouverneur Polis a signée le 28 août 2025 a simplement substitué « 30 juin 2026 » à « 1er février 2026 » dans les statuts pertinents sans modifier la substance du AI Act.

La menace de la préemption fédérale

Le décret exécutif de l’administration Trump du 11 décembre 2025 a ajouté une dimension existentielle aux perspectives du Colorado AI Act. Le décret ordonne la création d’un DOJ AI Litigation Task Force pour contester les lois étatiques sur l’IA qui sont « inconstitutionnelles, préemptées ou autrement illégales ». Il charge également le Department of Commerce d’inventorier les réglementations étatiques sur l’IA qui entrent en conflit avec la politique fédérale de maintien d’un environnement réglementaire de l’IA minimalement contraignant.

Le recours en préemption reposerait probablement sur la doctrine de la clause de commerce dormante (dormant Commerce Clause), arguant que le Colorado AI Act impose aux systèmes IA utilisés dans le commerce interétatique des exigences qui entravent indûment le libre flux des biens et services entre les États. De nombreux systèmes IA réglementés par le Colorado Act sont développés dans d’autres États — notamment en Californie — et déployés à l’échelle nationale, faisant de leur réglementation par un seul État un fardeau potentiel pour le commerce interétatique.

Cependant, les spécialistes du droit constitutionnel ont noté que l’argument de la clause de commerce dormante se heurte à des obstacles significatifs. Les États réglementent depuis longtemps l’assurance, la santé, le logement et l’emploi — les domaines mêmes couverts par le AI Act — sans contestation réussie sur la base de la clause de commerce. Des experts en droit constitutionnel ont argumenté que les contestations de la clause de commerce dormante contre les lois étatiques sur l’IA réussiront ou échoueront sur la base de preuves concrètes d’infaisabilité ou de charge excessive, et non sur des assertions généralisées concernant l’innovation ou la compétitivité.

L’analyse constitutionnelle est véritablement incertaine. La Cour suprême ne s’est pas prononcée sur l’application de la doctrine de la clause de commerce dormante aux réglementations technologiques étatiques. Fait notable, le décret exécutif lui-même inclut des exceptions qui interdisent expressément la préemption fédérale des lois étatiques sur l’IA relatives à la sécurité des enfants, à l’infrastructure de calcul IA et de centres de données, et aux marchés publics d’IA des gouvernements étatiques.

Il convient de noter que le gouverneur Polis a exprimé son soutien au concept de préemption fédérale. Dans sa déclaration de signature originale, il a spécifiquement appelé à une solution nationale qui supplanterait le droit étatique. Pourtant, le procureur général de l’État conserve l’autorité d’application, et la loi reste en bonne voie pour sa date d’entrée en vigueur du 30 juin, indépendamment du calendrier du recours fédéral.

Pourquoi le Colorado concerne tout le monde

La portée du Colorado AI Act s’étend bien au-delà des frontières du Colorado. Son sort influencera probablement la trajectoire de la réglementation de l’IA aux États-Unis pour les années à venir.

De nombreux États observent le Colorado de près. Le SB 2 du Connecticut — un projet de loi complet sur l’IA qui a été adopté par le Sénat en 2025 — s’est enlisé à la Chambre après que le gouverneur Ned Lamont a menacé d’un veto. Le HB 2094 de Virginie a été adopté par les deux chambres en 2025 pour être ensuite bloqué par le veto du gouverneur. L’État de Washington a fait avancer plusieurs projets de loi sur l’IA en commission lors de sa session 2026, incluant le HB 2157 sur les systèmes IA à haut risque et le HB 2144 sur l’IA dans l’emploi. Selon BSA | The Software Alliance, 45 États ont examiné près de 700 projets de loi liés à l’IA rien qu’en 2024, dont 113 ont été promulgués.

Si le Colorado Act survit au processus d’amendement et au recours en préemption fédérale, il établira le principe que les États peuvent réglementer de manière complète les systèmes IA opérant sur leur territoire. S’il est significativement réduit par amendement, il signalera que l’approche complète de la réglementation de l’IA est politiquement impraticable au niveau étatique. S’il est préempté par une action fédérale, il créera un précédent selon lequel la réglementation étatique de l’IA est subordonnée à la politique fédérale — même en l’absence d’une loi fédérale complète sur l’IA.

Pour les entreprises exploitant des systèmes IA, le Colorado AI Act représente les exigences opérationnelles les plus détaillées que toute réglementation américaine de l’IA ait imposées. Le cadre d’évaluation d’impact, les exigences de transparence, les obligations de signalement de la discrimination algorithmique et les mandats de politique de gestion des risques représentent un travail de conformité significatif. Les entreprises qui se préparent pour le Colorado se préparent, par extension, à tout cadre réglementaire de l’IA qui émergera à terme au niveau national.

L’échéance du 30 juin 2026 approche. La session législative du Colorado 2026 se termine le 13 mai. Le calendrier de la préemption fédérale est incertain mais s’étend probablement bien au-delà de juin. Pour l’avenir prévisible, le Colorado AI Act reste la réglementation de l’IA la plus conséquente d’Amérique — et le test décisif pour savoir si les États peuvent mener la responsabilisation en matière d’IA.

Sources et lectures complémentaires

• Colorado SB 24-205: Full Text — Colorado General Assembly
• Colorado’s AI Act: Still Standing — American Bar Association
• A Deep Dive into Colorado’s Artificial Intelligence Act — National Association of Attorneys General
• Trump Executive Order: Ensuring a National Policy Framework for AI — The White House
• State AI Laws Under Federal Scrutiny — White & Case LLP
• Colorado AI Act Implementation Delayed — Baker Botts