Colorado SB 26-189 : la loi IA pionnière est entièrement refondée

Trois sessions législatives, une refonte totale : comment le Colorado a réécrit sa première loi IA

Le 14 mai 2026, le gouverneur du Colorado Jared Polis a signé le projet de loi SB 26-189, marquant l'aboutissement d'un processus législatif particulièrement révélateur des tensions inhérentes à la régulation de l'intelligence artificielle. Cette nouvelle loi abroge et remplace dans son intégralité le SB 24-205 — plus connu sous le nom de Colorado AI Act — adopté en mai 2024 et qui devait initialement entrer en vigueur le 30 juin 2026. En deux ans, le Colorado aura consacré pas moins de trois sessions législatives successives à affiner sa politique de régulation de l'IA, devenant un cas d'étude mondial sur la difficulté à maintenir un équilibre stable entre protection des individus et compétitivité économique dans ce domaine.

L'origine de cette refonte est à rechercher dans les critiques convergentes formulées par le monde des affaires, les associations technologiques et une partie des défenseurs des droits civiques à l'encontre du SB 24-205 original. La loi de 2024, bien que pionnière aux États-Unis et saluée par les organisations de défense des libertés numériques, était critiquée pour l'imprécision de ses définitions — notamment la notion de "système d'IA à haut risque", jugée trop vaste et source d'insécurité juridique — pour le caractère disproportionné de certaines obligations (évaluations d'impact obligatoires, programmes formels de gestion des risques), et pour le risque de décourager l'innovation et l'implantation d'entreprises technologiques dans l'État. Le gouverneur Polis lui-même avait exprimé des réserves lors de la signature de la loi originale, annonçant la nécessité d'amendements futurs.

Sur le fond, SB 26-189 opère une transformation radicale du champ d'application. La notion centrale de "système d'IA à haut risque" est abandonnée au profit d'une définition plus étroite et opérationnellement précise : la "technologie de décision automatisée" (ADMT, pour Automated Decision-Making Technology). Pour relever de la loi, un système doit remplir deux conditions cumulatives : d'une part, traiter des données personnelles ; d'autre part, être utilisé pour "influencer matériellement" une "décision à enjeu" (consequential decision). Les domaines visés couvrent les décisions d'embauche, de promotion, de licenciement, d'accès au crédit, au logement, à l'éducation et aux soins de santé — autant de domaines où une décision automatisée erronée peut avoir des conséquences graves et durables sur la vie d'un individu.

La nouvelle loi supprime plusieurs des obligations les plus contraignantes de la version originale. Disparaissent : le devoir de diligence des développeurs et déployeurs pour prévenir les discriminations algorithmiques, l'obligation d'établir des programmes formels de gestion des risques IA, l'obligation de conduire des évaluations d'impact avant le déploiement, et les exigences de déclaration au procureur général. Ces suppressions représentent un allègement substantiel pour les entreprises, en particulier les PME qui auraient eu du mal à absorber le coût de conformité de la loi originale sans disposer de ressources juridiques et techniques dédiées à la gouvernance IA.

En contrepartie, SB 26-189 maintient et structure trois catégories principales d'obligations. Premièrement, une obligation de notification claire et intelligible aux individus lorsqu'une ADMT est utilisée pour une décision les concernant, incluant une description accessible de la logique employée. Deuxièmement, une procédure formalisée de recours et de révision humaine : toute décision défavorable fondée sur une ADMT peut être contestée par l'individu concerné, qui a droit à une explication et à une révision par un être humain identifié. Troisièmement, une obligation de conservation des données pertinentes pendant au minimum trois ans pour permettre un audit a posteriori. Les entités déployant des systèmes ADMT doivent également documenter leurs relations contractuelles avec leurs fournisseurs de technologie et les garanties obtenues quant à la fiabilité des systèmes acquis.

Concernant l'application de la loi, SB 26-189 maintient le monopole du procureur général du Colorado sur les poursuites — aucune action en justice privée n'est autorisée. Les violations constituent des pratiques commerciales déloyales et trompeuses, passibles d'amendes civiles pouvant atteindre 20 000 dollars par violation. Un droit à la régularisation de 60 jours permet aux entités en infraction de remédier aux manquements avant qu'une action coercitive ne soit engagée, cette disposition expirant au 1er janvier 2030. L'Attorney General est par ailleurs tenu de publier des règles d'application avant l'entrée en vigueur, avec obligation de clôturer le processus réglementaire avant le 1er janvier 2027.

La loi a reçu un accueil mitigé. Les organisations de protection des consommateurs et des droits civiques, notamment l'Electronic Privacy Information Center (EPIC), regrettent la suppression du devoir de diligence et des évaluations d'impact, piliers protecteurs de la version originale. À l'inverse, les associations d'employeurs et les organisations technologiques saluent l'allègement des obligations, tout en signalant que les dispositifs de notification et de recours humain restent substantiels en termes de mise en oeuvre opérationnelle, selon les analyses publiées par des cabinets comme Crowell & Moring, ArentFox Schiff et Nixon Peabody.

Sur le plan du calendrier de conformité, l'entrée en vigueur au 1er janvier 2027 laisse aux organisations environ six mois pour se préparer — un délai jugé raisonnable à condition de commencer immédiatement. Selon le Rocky Mountain Employer's Blog, dont l'analyse du 4 juin 2026 fait référence, les entreprises doivent en priorité inventorier les systèmes susceptibles de relever de la définition ADMT, identifier les décisions à enjeu qu'ils influencent, cartographier les flux de données personnelles impliqués, et renegocier si nécessaire les clauses contractuelles avec les fournisseurs technologiques pour obtenir les garanties requises par la loi.

Pourquoi le Colorado SB 26-189 remodèle le débat sur la régulation IA aux États-Unis et en Europe

La trajectoire législative du Colorado — du cadre le plus ambitieux aux États-Unis en 2024 à une version significativement allégée en 2026 — illustre les tensions profondes qui traversent le débat sur la régulation de l'IA. D'un côté, une volonté de protéger les individus contre les risques de discrimination algorithmique et de prise de décision opaque par des systèmes automatisés ; de l'autre, la crainte de pénaliser l'innovation et l'économie locale au profit d'États ou de pays moins régulés. SB 26-189 ne résout pas cette tension fondamentale, il la rééquilibre en optant pour un recentrage sur les cas d'usage à impact direct et documenté sur les individus plutôt que sur une régulation horizontale de la technologie.

Ce mouvement de recentrage est cohérent avec une tendance observable à l'échelle internationale. En Europe, l'AI Act distingue les systèmes interdits, les systèmes à haut risque soumis à des obligations strictes, et les systèmes à risque limité ou minimal — une approche graduée qui a inspiré les débats législatifs américains. Le passage du Colorado d'un critère technologique ("système d'IA à haut risque") à un critère d'impact fonctionnel ("ADMT influençant matériellement une décision à enjeu") s'aligne davantage avec la philosophie de l'AI Act européen que la loi originale de 2024 ne l'était. Plusieurs États américains ayant introduit leurs propres projets de loi IA en 2026 observeront attentivement si ce cadrage conceptuel coloradais s'avère suffisamment protecteur pour les consommateurs et suffisamment praticable pour les entreprises.

L'absence de private right of action dans SB 26-189 est un choix délibéré aux implications importantes sur l'effectivité de la loi. Aux États-Unis, les class actions jouent un rôle essentiel de complément à l'action publique pour sanctionner les violations à grande échelle. En réservant l'application exclusive au seul Attorney General, le Colorado réduit mécaniquement la pression de conformité ressentie par les entreprises — à moins que le bureau du procureur ne dispose des ressources suffisantes pour instruire de nombreuses affaires simultanément. Cette architecture rappelle celle du RGPD européen où l'action des autorités de contrôle est prépondérante, bien que les voies de recours individuelles restent ouvertes en Europe.

Les règles d'application que devra publier l'Attorney General avant janvier 2027 seront déterminantes pour l'effectivité réelle de SB 26-189. Ces règles devront préciser les contours opérationnels de notions encore imprécises — notamment ce qui qualifie une décision d'"influencée matériellement" par une ADMT, et ce qui constitue une révision humaine "significative" au sens de la loi. Les organisations devraient suivre attentivement ce processus réglementaire et envisager de participer aux consultations publiques qui l'accompagneront, afin de contribuer à façonner des standards réalisables et de s'assurer que leur lecture des obligations légales est alignée avec celle du régulateur avant l'entrée en vigueur.

Ce qu'il faut retenir

• SB 26-189, signé le 14 mai 2026, abroge la loi IA pionnière du Colorado et entre en vigueur le 1er janvier 2027 : champ recentré sur les ADMT influençant des décisions à enjeu sur des données personnelles.
• Les obligations les plus contraignantes sont supprimées (devoir de diligence, évaluations d'impact, gestion des risques) ; restent notification, recours humain formalisé et conservation des données 3 ans.
• Action immédiate : inventorier les systèmes ADMT potentiellement concernés, cartographier les flux de données personnelles liées aux décisions à enjeu, et préparer les procédures de conformité avant le 1er janvier 2027.