Colorado AI Act : refonte et report au 1er janvier 2027

Le Colorado fait volte-face sur sa loi pionnière et redéfinit le calendrier de compliance IA aux États-Unis

En mai 2024, le Colorado avait fait figure de précurseur en adoptant SB 24-205, la première loi américaine à imposer des obligations substantielles aux entreprises qui développent et déploient des systèmes d'intelligence artificielle à haut risque. Deux ans plus tard, à quelques semaines de son entrée en vigueur prévue le 30 juin 2026, cette loi a été fondamentalement refondée. Le gouverneur Jared Polis a signé SB 26-189 le 14 mai 2026, repoussant la date d'effet au 1er janvier 2027 et abandonnant la majorité des exigences qui avaient suscité une opposition frontale de la part de l'industrie technologique.

La loi originale de 2024 était ambitieuse. Elle imposait aux développeurs et déployeurs de systèmes IA à haut risque — définis comme les systèmes prenant des décisions à impact significatif dans des domaines comme l'emploi, l'éducation, les services financiers, les services gouvernementaux, la santé, le logement, l'assurance et les services juridiques — de mettre en place des programmes complets de gestion des risques, de conduire des évaluations d'impact annuelles, de documenter les capacités et limitations connues des systèmes, et de prévenir activement les discriminations algorithmiques envers les habitants du Colorado. Un mécanisme de safe harbor réduisait la responsabilité des organisations capables de démontrer leur conformité.

Ces exigences avaient suscité une levée de boucliers dans l'industrie dès l'adoption de la loi. Des associations représentant les entreprises technologiques ont multiplié les actions de lobbying, arguant que la charge administrative imposée était disproportionnée, techniquement difficile à satisfaire compte tenu de l'état actuel des outils d'audit des systèmes IA, et susceptible de décourager l'innovation dans l'État. Plusieurs grandes entreprises tech avaient averti de la possibilité de déplacer leurs activités de développement IA vers d'autres États si la loi entrait en vigueur sans modifications.

Le gouverneur Polis lui-même avait exprimé des réserves dès la promulgation initiale. Dans une lettre accompagnant sa signature de SB 24-205 en mai 2024, il avait appelé à des ajustements avant l'entrée en vigueur, soulignant les risques de création d'un patchwork réglementaire fragmenté entre États et la difficulté à définir avec précision ce qu'est un système IA à « haut risque ». Cette position ambiguë avait annoncé une révision probable.

SB 26-189 entérine cette révision de façon radicale. Les programmes de gestion des risques obligatoires disparaissent. Les évaluations d'impact annuelles sur les systèmes IA à haut risque sont supprimées. Les obligations étendues visant à prévenir les discriminations algorithmiques sont réduites. La loi révisée adopte une approche fondamentalement différente, centrée sur la notification : les entreprises doivent principalement informer les utilisateurs de façon transparente quand un système IA est utilisé pour prendre des décisions à fort impact les concernant, sans devoir documenter et certifier des processus de gouvernance interne élaborés.

Le délai supplémentaire accordé — six mois de plus jusqu'au 1er janvier 2027 — s'explique par la nécessité pour le Bureau du Procureur Général du Colorado de conduire un travail de réglementation secondaire pour définir les détails d'application de la loi révisée. Les entreprises concernées sont invitées à surveiller activement la publication de ces règlements complémentaires dans les prochains mois, car ils préciseront les exigences concrètes en matière de notification et les mécanismes de contrôle de conformité.

La portée géographique de SB 24-205 et de sa version révisée couvre toutes les entreprises dont les systèmes IA affectent des résidents du Colorado, indépendamment du lieu d'établissement de l'entreprise. Une PME française dont un produit SaaS est utilisé par des entreprises ou des particuliers au Colorado peut théoriquement entrer dans le champ d'application de la loi — même si, en pratique, l'application extraterritoriale reste limitée par la capacité réelle d'enforcement des autorités de l'État.

Sur le plan fédéral américain, l'administration Trump a opté pour une approche radicalement différente. Le mémorandum sur la sécurité nationale relatif à l'IA signé en juin 2026 pousse à l'accélération du déploiement IA dans les agences fédérales et militaires, avec une philosophie de non-interférence réglementaire dans le développement du secteur privé. Ce contexte fédéral crée une tension structurelle avec les velléités législatives des États, que plusieurs constitutionnalistes considèrent comme potentiellement contestable si une loi fédérale prééminente était adoptée.

Ce recul réglementaire américain interroge la trajectoire globale de la gouvernance de l'IA

Le retournement du Colorado intervient alors que l'Union Européenne déploie progressivement son AI Act, adopté en 2024, dont les premières obligations substantielles s'appliquent en 2025-2026. Contrairement à l'approche américaine fragmentée par États, le règlement européen impose un cadre unifié à l'échelle du marché unique, avec des obligations selon quatre niveaux de risque et des sanctions pouvant atteindre 7 % du chiffre d'affaires mondial. Pour les entreprises opérant des deux côtés de l'Atlantique, la comparaison est frappante : les obligations que le Colorado vient d'abandonner ressemblent à certains égards aux exigences que l'AI Act européen maintient pour les systèmes à haut risque.

Ce contraste est instructif pour les directions juridiques et de conformité. Il illustre la différence fondamentale d'approche réglementaire entre les deux rives de l'Atlantique. En Europe, la pression politique et citoyenne pour une régulation de l'IA reste forte, notamment en matière de protection des droits fondamentaux et de transparence algorithmique. Aux États-Unis, la culture de déréglementation et l'influence des grandes entreprises technologiques sur le processus législatif conduisent à une dynamique inverse, où même les lois les plus modérées peinent à franchir le seuil de l'application effective.

Pour les entreprises françaises et européennes développant des produits IA, le pragmatisme s'impose. La priorité est de se conformer à l'AI Act européen — dont les obligations pour les systèmes à haut risque entrent en vigueur par phases jusqu'en 2027 — tout en suivant l'évolution réglementaire américaine État par État. Des frameworks comme la NIST AI RMF (Risk Management Framework) publiée par le NIST américain offrent une base commune utile pour structurer la gouvernance IA indépendamment des spécificités législatives locales.

Le Colorado AI Act version 2026 n'est pas une défaite totale pour les partisans d'une régulation de l'IA. L'obligation de notification qui survit à la révision crée un précédent : les utilisateurs finaux ont le droit de savoir quand leurs décisions importantes sont influencées par un système IA. Cette exigence de transparence minimale, même allégée, représente un standard nouveau dans le droit américain. Le débat sur comment aller plus loin est simplement reporté — avec l'espoir, pour les partisans d'une régulation plus robuste, que les incidents liés à l'IA des prochains mois renforceront la demande publique pour des protections plus substantielles.

Ce qu'il faut retenir

• SB 26-189 signé le 14 mai 2026 reporte l'entrée en vigueur du Colorado AI Act au 1er janvier 2027 et allège drastiquement ses obligations, supprimant les programmes de gestion des risques et les évaluations d'impact annuelles.
• L'approche réglementaire américaine sur l'IA reste fragmentée et sous forte pression industrielle, à l'opposé du cadre contraignant de l'AI Act européen — un écart qui complexifie la compliance pour les acteurs opérant des deux côtés de l'Atlantique.
• Les entreprises concernées doivent surveiller les règlements d'application publiés par le Procureur Général du Colorado tout en priorisant leur mise en conformité avec l'AI Act de l'UE.