Un aperçu de la signification et des éléments de la loi sur l'IA du Colorado
•
•
6 minutes de lecture
Sujets
Le 17 mai 2024, le gouverneur du Colorado, Jared Polis, a promulgué la Loi du Colorado sur l’intelligence artificielle ou Colorado Artificial Intelligence Act (« CAIA »). La CAIA constitue une étape importante pour la réglementation de l’IA aux États-Unis, car il s’agit de la première loi étatique couvrant un large éventail de systèmes d’IA. Bien qu’un projet de loi similaire proposé dans le Connecticut n'ait pas été adopté, il est probable que d'autres États suivront l'exemple du Colorado en réglementant de manière générale l'utilisation de l'IA.
Comment la CAIA se compare-t-elle à l’EU AI Act (Règlement européen sur l’IA) ?
La CAIA est similaire à l’EU AI Act à trois égards.
Premièrement, la majorité des exigences des deux lois concernent les systèmes d'IA à haut risque. Deuxièmement, la conformité avec les deux réglementations peut être démontrée, dans une large mesure, par le respect de normes telles que l’ISO/CEI 42001 - Systèmes de management de l'IA. Troisièmement, les deux lois exigent des analyses d’impact pour les systèmes à haut risque.
Il existe également au moins deux différences majeures entre la CAIA et l’EU AI Act.
Premièrement, les exigences de l'EU AI Act sont plus strictes que celles de la CAIA. La CAIA, principalement axée sur la discrimination algorithmique, exclut plusieurs types courants de systèmes d'IA de sa définition de système d'IA à haut risque. Elle dispense également les déployeurs de moins de 50 employés d’une grande partie de ses exigences, sous réserve de remplir certains critères.
Deuxièmement, la plupart de ses dispositions entreront en vigueur bien plus tôt que l'essentiel de celles de l'EU AI Act. Les entreprises disposent d'un peu moins de 20 mois pour se mettre en conformité avec la CAIA, celle-ci entrant en vigueur le 1er février 2026. À titre de comparaison, les exigences de l'EU AI Act concernant les systèmes à haut risque n'entreront en vigueur qu'à la mi-2026, soit 24 mois après sa publication au Journal officiel de l'UE.
Quels sont les systèmes d’IA concernés par la CAIA ?
La CAIA s'applique aux développeurs ou aux déployeurs de systèmes d'IA exerçant des activités commerciales au Colorado. Un développeur est une entité qui développe ou modifie de manière intentionnelle et substantielle un système d'IA, tandis qu'un déployeur est une entité qui déploie un système d'IA à haut risque.
Selon la CAIA, un système d'IA est à haut risque si, lors de son déploiement, il « prend, ou constitue un facteur déterminant dans la prise d'une décision importante ». Une décision importante est définie comme une décision ayant « un effet juridique matériel ou un effet similaire significatif sur l’octroi ou le refus à tout consommateur, ou sur le coût ou les conditions » d’une admission ou d'une possibilité d’études, d’un emploi ou d'une opportunité d’emploi, d’un service financier ou de prêt, d’un service public essentiel, de services de santé, de logement, d’assurance ou d’un service juridique. En outre, certains types de systèmes d'IA sont exclus de la catégorie à haut risque.
Comment la CAIA sera-t-elle appliquée ?
Le procureur général du Colorado aura la compétence exclusive pour faire appliquer la loi et fournir les règles et orientations y afférentes. La CAIA ne prévoit pas de droit d’action privé. Si le procureur général du Colorado engage une action d’exécution, un déployeur bénéficiera d'une « présomption réfragable » d’avoir fait preuve d'une diligence raisonnable pour protéger les consommateurs contre la discrimination algorithmique s'il dispose d'une politique et d'un programme de gestion des risques conformes au NIST AI Risk Management Framework (« AI RMF ») ou à la norme ISO/CEI 42001. De plus, dans le cadre d'une action d’exécution, une entreprise dispose d'un « moyen de défense affirmatif » si elle découvre et corrige une violation de la CAIA grâce à des retours d'expérience, des tests contradictoires, des exercices de simulation de cyberattaque (red teaming, selon les termes définis par le NIST) ou un processus d'examen interne, et « est par ailleurs en conformité » avec le NIST AI RMF et l'ISO/CEI 42001.
Pour plus d’informations sur la manière de développer une politique et un programme de gestion des risques, demandez notre guide gratuit et complet sur la rédaction d’une politique d’IA ici.
Qu'impose la CAIA aux développeurs et aux déployeurs de systèmes d'IA à haut risque ?
La CAIA exige des développeurs et des déployeurs qu'ils fassent preuve d'une « diligence raisonnable » pour protéger les individus contre les risques connus ou prévisibles de discrimination algorithmique, et qu'ils décrivent leurs utilisations de l’IA à haut risque sur leur site Web.
Les développeurs sont tenus de notifier au procureur général du Colorado et aux déployeurs connus tout risque connu ou raisonnablement prévisible de discrimination algorithmique, sans retard déraisonnable et dans un délai de 90 jours. Les déployeurs sont tenus de notifier au procureur général du Colorado dès qu'ils apprennent qu'un système a causé une discrimination algorithmique, sans retard déraisonnable et dans un délai de 90 jours.
Les développeurs doivent fournir « une déclaration générale décrivant les utilisations raisonnablement prévisibles et les utilisations nocives ou inappropriées connues du système » ainsi que la documentation associée.
Les déployeurs sont tenus de réaliser des analyses d'impact des systèmes d'IA à haut risque chaque année et dans les 90 jours suivant toute « modification intentionnelle et substantielle » du système d'IA.
Les déployeurs sont tenus de mettre en place une politique et un programme de gestion des risques, d'informer les personnes physiques avant qu'un système d'IA ne soit utilisé pour prendre une décision importante à leur égard, d'expliquer comment les décisions importantes défavorables ont été prises, de donner la possibilité de corriger les informations personnelles incorrectes liées à ces décisions, et de proposer des voies de recours pour contester ces décisions.
Tous les systèmes d'IA doivent porter une mention informative (« Labeled »)
Bien que la plupart des exigences de la CAIA concernent les systèmes d'IA à haut risque, son obligation d'information s'applique à tous les systèmes d'IA destinés à interagir avec des personnes physiques. Pour ces systèmes, un développeur ou un déployeur doit informer la personne physique qu'elle interagit avec un système d'IA, à moins que cela ne soit « évident pour une personne raisonnable ».
Enzai est là pour vous aider
La solution d'Enzai peut aider votre entreprise à se conformer aux exigences du Colorado, au NIST AI RMF, à la norme ISO/CEI 42001, à l'EU AI Act ainsi qu'aux autres régimes de conformité et de réglementation mondiaux. Pour en savoir plus, contactez-nous ici.
Enzai est la plateforme d'excellence pour la gouvernance d’entreprise de l’IA, conçue sur mesure pour aider les organisations à passer de politiques abstraites à un contrôle opérationnel. Notre plateforme de gestion des risques liés à l'IA fournit l'infrastructure spécialisée nécessaire pour piloter la gouvernance de l'IA agentique, maintenir un inventaire d'IA complet et garantir la conformité avec l'EU AI Act. En automatisant les processus complexes, Enzai permet aux entreprises de déployer l'IA à grande échelle en toute confiance, tout en restant en parfaite adéquation avec les normes internationales telles que l'ISO 42001 et le NIST.
Donnez à votre organisation les moyens d'adopter, de gérer et de surveiller l'IA avec une confiance de niveau entreprise. Conçu pour les organisations réglementées opérant à grande échelle.