Le 17 mai 2024, le gouverneur du Colorado, Jared Polis, a promulgué la Loi sur l'Intelligence Artificielle du Colorado (« CAIA »). La CAIA représente un jalon important pour la régulation de l'IA aux États-Unis, car elle est la première loi d'un État à couvrir une large gamme de systèmes d'IA. Bien qu'un projet de loi similaire proposé au Connecticut ne soit pas devenu loi, il est probable que d'autres États suivent l'exemple du Colorado en réglementant largement l'utilisation de l'IA.

Comment la CAIA se compare-t-elle à la loi sur l'IA de l'UE ?

La CAIA est similaire à la loi sur l'IA de l'UE de trois manières.

Premièrement, la majorité des exigences des deux lois concerne des systèmes d'IA à haut risque. Deuxièmement, la conformité avec les deux lois peut être en grande partie démontrée en se conformant à des normes telles que ISO/IEC 42001 - Systèmes de gestion de l'IA. Troisièmement, les deux lois exigent des évaluations d'impact pour les systèmes à haut risque.

Il existe également au moins deux différences majeures entre la CAIA et la loi sur l'IA de l'UE.

Premièrement, les exigences de la loi sur l'IA de l'UE sont plus approfondies que celles de la CAIA. La CAIA, principalement concernée par la discrimination algorithmique, exclut plusieurs types courants de systèmes d'IA de sa définition de système d'IA à haut risque. Elle exonère également les déployeurs ayant moins de 50 employés de nombreuses de ses exigences, s'ils remplissent certains critères.

Deuxièmement, la majorité de ses dispositions entrera en vigueur bien plus tôt que la plupart des dispositions de la loi sur l'IA de l'UE. Les entreprises disposent de moins de 20 mois pour se conformer à la CAIA, car elle entre en vigueur le 1er février 2026. En comparaison, les exigences de la loi sur l'IA de l'UE pour les systèmes à haut risque ne prendront effet qu'à la mi-2026, 24 mois après sa publication dans le journal de l'UE.

Quels systèmes d'IA sont couverts par la CAIA ?

La CAIA s'applique aux développeurs ou déployeurs de systèmes d'IA exerçant des activités dans le Colorado. Un développeur est une personne qui développe ou modifie délibérément et substantiellement un système d'IA, tandis qu'un déployeur est une personne qui déploie un système d'IA à haut risque.

Selon la CAIA, un système d'IA est à haut risque si, une fois déployé, il « prend ou est un facteur substantiel dans la prise d'une décision conséquente ». Une décision conséquente est une décision qui a « un effet juridique matériel ou de signification similaire sur la fourniture ou le refus à tout consommateur de, ou sur le coût ou les conditions de » l'inscription ou l'opportunité éducative, l'emploi ou une opportunité d'emploi, un service financier ou de prêt, un service gouvernemental essentiel, des services de santé, le logement, l'assurance, ou un service juridique. De plus, certains types de systèmes d'IA sont exclus de la catégorie à haut risque.

Comment la CAIA sera-t-elle appliquée ?

‍Le procureur général du Colorado aura l'autorité exclusive pour appliquer la loi et fournir des règles et orientations s'y rapportant. La CAIA ne prévoit pas de droit d'action privé. Si le procureur général du Colorado engage une action d'application, un déployeur aura une « présomption réfragable » qu'il a utilisé des soins raisonnables pour protéger les consommateurs contre la discrimination algorithmique s'il dispose d'une politique et d'un programme de gestion des risques alignés sur le Cadre de gestion des risques de l'IA du NIST (« AI RMF ») ou ISO/IEC 42001. De plus, dans une action d'application, une entreprise a une « défense affirmative » si elle découvre et corrige une violation de la CAIA en raison de commentaires, de tests adversaires ou de tests d'intrusion (tels que définis par le NIST) ou un processus de révision interne et « est par ailleurs en conformité avec » le AI RMF du NIST et ISO/IEC 42001.

Pour plus d'informations sur la façon de développer une politique et un programme de gestion des risques, demandez notre guide gratuit et complet sur comment vous pouvez rédiger une politique d'IA ici.

‍

‍

Que requiert la CAIA des développeurs et déployeurs de systèmes d'IA à haut risque ?

La CAIA exige que les développeurs et les déployeurs utilisent des « soins raisonnables » pour protéger les individus contre les risques connus ou prévisibles de discrimination algorithmique et décrivent leurs utilisations de l'IA à haut risque sur leurs sites web.

Les développeurs sont tenus d'informer le procureur général du Colorado et les déployeurs connus de tout risque connu ou raisonnablement prévisible de discrimination algorithmique sans retard déraisonnable et dans les 90 jours. Les déployeurs doivent informer le procureur général du Colorado dès qu'ils apprennent qu'un système a causé une discrimination algorithmique sans retard déraisonnable et dans les 90 jours.

Les développeurs sont tenus de fournir « une déclaration générale décrivant les utilisations raisonnablement prévisibles et les utilisations nuisibles ou inappropriées connues du système » ainsi que la documentation connexe.

Les déployeurs doivent effectuer des évaluations d'impact des systèmes d'IA à haut risque chaque année et dans les 90 jours suivant toute « modification intentionnelle et substantielle » du système d'IA.

‍

‍

Les déployeurs doivent disposer d'une politique et d'un programme de gestion des risques, avertir les individus avant qu'un système d'IA ne soit utilisé pour prendre une décision conséquente, expliquer aux individus comment les décisions consécutives défavorables ont été prises, offrir la possibilité de corriger les informations personnelles incorrectes liées à ces décisions et fournir des opportunités de recours pour ces décisions.

Tous les systèmes d'IA doivent être 'étiquetés'

Bien que la plupart des exigences de la CAIA concernent les systèmes d'IA à haut risque, son exigence d'étiquetage s'applique à tous les systèmes d'IA destinés à interagir avec les individus. Pour de tels systèmes, un développeur ou un déployeur doit divulguer à un individu que celui-ci interagit avec un système d'IA, à moins que cela ne soit « évident pour une personne raisonnable ».

Enzai est là pour vous aider

Le produit d'Enzai peut aider votre entreprise à se conformer aux exigences du Colorado, au AI RMF du NIST, à ISO/IEC 42001, à la loi sur l'IA de l'UE et à d'autres régimes de réglementation et d'assurance mondiaux. Pour en savoir plus, contactez-nous ici.