Colorado SB 21-169 : playbook de conformité pour les assureurs

Comment le Colorado régule aujourd'hui l'IA en assurance

Depuis près de cinq ans, le Colorado est l'État qui compte le plus pour la régulation de l'IA en assurance aux États-Unis — et 2026 est l'année où tout le poids de cela retombe sur les assureurs. Si votre entreprise souscrit des polices, tarifie des risques, règle des sinistres ou conçoit des modèles pour un assureur licencié dans l'État, ce billet est pour vous. Nous l'avons écrit pour qu'il soit ce que quelqu'un de l'équipe conformité ouvre quand on lui demande comment bien faire — et non un énième explicatif sur ce que dit le texte.

Trois changements concrets ont atterri ces douze derniers mois, et aucun n'a fait grand bruit hors des cercles spécialisés. Le 15 octobre 2025, le régime de tests de biais au titre du C.R.S. §10-3-1104.9 a cessé d'être une règle d'assurance vie pour devenir une règle qui s'applique aussi à l'auto particulier (private passenger auto) et aux plans de santé. La plupart des grands assureurs personnels sont désormais dans le périmètre — et beaucoup ne fonctionnent pas encore au niveau attendu par la Division of Insurance. Le 1er décembre 2025, les assureurs vie ont déposé leur deuxième attestation annuelle au titre de Regulation 10-1-1, ce qui veut dire que la Division dispose maintenant de deux ans de données, deux ans de comparaisons et deux ans de raisons d'aller plus loin sur les dépôts qui paraissent suspectement propres. Et en juin 2026, le Colorado AI Act (SB 24-205), plus large, entre en vigueur, appliqué par l'Attorney General et non par la Division — un second canal d'application que tout assureur licencié au Colorado doit gérer en plus de SB 21-169.

Ce playbook parcourt ce à quoi ressemble, vu de l'intérieur, un programme SB 21-169 sérieux. Il couvre le statut et ses règlements d'application, les composantes opérationnelles à monter, les méthodes quantitatives que la Division en est venue à attendre, un test de biais chiffré chez un assureur auto fictif de taille moyenne, les modes d'échec courants qui apparaissent en examens de market conduct, et la manière dont la loi se rattache aux deux régimes IA adjacents que votre équipe conformité devra aussi satisfaire. Si vous ne voulez que l'explicatif court, notre page solution SB 21-169 s'en charge. Si vous voulez quelque chose à remettre au comité des risques, lisez la suite.

Ce que le statut et le règlement vous demandent

La plupart des résumés de SB 21-169 floutent une distinction qui s'avère assez importante. Le projet de loi lui-même, signé par le gouverneur Polis en juillet 2021, est un statut habilitant. Il vit dans les Colorado Revised Statutes sous C.R.S. §10-3-1104.9, sous le titre « Protecting Consumers from Unfair Discrimination in Insurance Practices », et sa substance est courte. Le statut interdit aux assureurs d'utiliser des algorithmes, des modèles prédictifs ou des données externes consommateur si le résultat est une discrimination injuste envers une classe protégée — et il enjoint à la Colorado Division of Insurance d'écrire les règles qui donnent à ces mots un sens opérationnel.

Ces règles vivent dans Regulation 10-1-1, finalisée en septembre 2023 et en vigueur depuis le 14 novembre 2023. Pour l'assurance vie, 10-1-1 est aujourd'hui le règlement vivant, et c'est de là que vient toute référence aux tests quantitatifs, à la gouvernance, à la documentation et à l'attestation annuelle. Quand une équipe conformité dit nous respectons SB 21-169, ce qu'elle veut généralement dire, c'est qu'elle respecte Regulation 10-1-1, parce que le statut seul est trop général pour être respecté directement.

Pour l'auto particulier et les plans de santé, c'est une autre histoire. L'extension de périmètre d'octobre 2025 les a fait entrer dans le statut, mais l'équivalent de Regulation 10-1-1 pour l'auto et la santé est encore en cours de rédaction début 2026. La Division a indiqué qu'elle compte suivre la même approche structurelle que pour la vie, donc la plupart des assureurs construisent par défaut au standard 10-1-1 en espérant que les règles sectorielles finales atterrissent proches. C'est un pari défendable, mais ça reste un pari.

Quatre termes sur lesquels le règlement s'appuie

Le statut et Regulation 10-1-1 utilisent quatre éléments de vocabulaire tellement souvent que rien d'autre n'a de sens tant qu'on ne les a pas fixés :

• ECDIS (External Consumer Data and Information Sources) désigne toute donnée que l'assureur n'a pas collectée directement auprès du consommateur : scores d'assurance basés sur le crédit, historique d'achat, signaux télématiques, données de wearables, attributs géographiques, fichiers de courtiers tiers, flux de consortium. La revue des sources de données par la Division est essentiellement une revue des ECDIS.
• Predictive model couvre tout construit statistique ou de machine learning qui produit un score, une classe ou une prédiction qui nourrit une décision d'assurance. Modèles d'arbres, GLM, réseaux neuronaux, stacks hybrides règles + modèles sont tous dans le périmètre s'ils influencent un résultat régulé.
• Algorithm est encore plus large. Le règlement l'utilise pour tout processus de calcul dont la sortie informe une décision d'assurance — ce qui veut dire qu'un moteur de tarification codé à la main sans paramètres appris peut qualifier s'il pilote des résultats conséquents.
• Unfair discrimination est l'expression que le règlement existe pour prévenir. Cela désigne un traitement différencié ou un impact disparate sur une classe protégée non justifié par une base actuarielle légitime, opérationnalisé par le régime de tests quantitatifs décrit plus loin dans ce billet.

Qui applique SB 21-169

La Colorado Division of Insurance applique SB 21-169 — un choix délibéré aux vraies conséquences pour la construction des programmes de conformité. La Division est la même agence qui approuve vos plans de tarification, mène les market conduct examinations et supervise le fonctionnement quotidien de votre activité dans l'État. Elle connaît vos formulaires de polices, elle connaît vos pratiques de provisions, et elle tend à poser des questions auxquelles un régulateur IA généraliste ne penserait jamais. Cela relève la barre des preuves plus haut qu'ailleurs. Les équipes comparent vos tests de biais aux mémorandums de tarification que vous avez déposés, et elles remarqueront les incohérences.

L'Attorney General, en revanche, détient l'application de SB 24-205, le Colorado AI Act qui se superpose à SB 21-169 pour tout assureur licencié au Colorado. Deux régulateurs, deux styles d'application, une même entreprise. Le tableau de comparaison plus loin explique en quoi les régimes diffèrent ; pour l'instant, retenez qu'un assureur licencié au Colorado utilisant de l'IA a au moins deux relations de conformité distinctes à gérer — et trois si l'on compte aussi le NAIC Model Bulletin.

Comment le déploiement s'est déroulé

Le rythme du déploiement a été délibérément inégal. Entre la signature de juillet 2021 et le lancement de Regulation 10-1-1 en novembre 2023, la Division a passé deux ans en consultations avec actuaires, défenseurs des consommateurs et assureurs sur la manière de traduire l'interdiction du statut en pratique mesurable. Les assureurs vie ont ensuite déposé leur première attestation en décembre 2024, une seconde en décembre 2025, et ont rompu la cadence dix mois plus tard quand l'extension de périmètre d'octobre 2025 a fait entrer l'auto et la santé dans le statut avant que leurs règles sectorielles ne soient prêtes.

Le programme de conformité en sept parties

Faire tourner un programme SB 21-169, c'est moins de la prose de politique et plus de la discipline opérationnelle. La Division attend des artefacts, pas des assurances — et ces artefacts viennent de sept composantes qui se renforcent mutuellement. Un inventaire sans gouvernance n'est qu'une liste. La gouvernance sans tests n'est qu'un comité. Les tests sans supervision des fournisseurs laissent la principale source de risque non gérée. Chaque composante rend la suivante possible, et chacune alimente la preuve qui nourrit l'attestation annuelle qui clôt le cycle.

Partie 01 : construire l'inventaire

Tout programme SB 21-169 crédible commence par un inventaire honnête de la surface IA et données sur laquelle reposent les décisions d'assurance. La plupart des assureurs trouvent leur premier brouillon inconfortablement long.

La question d'ouverture d'un examinateur est presque toujours une variante de « montrez-nous ce que vous avez. » Un assureur qui ne peut pas répondre concrètement a effectivement dit à la Division que son programme n'existe pas encore. L'inventaire est à la fois la fondation et l'artefact que la Division voudra comparer à vos dépôts de tarification.

Pour chaque entrée, les champs qui comptent sont les évidents plus ceux qui relient l'entrée au reste du programme :

• Purpose : la décision que le système influence (souscription, tarification, sinistres, fraude, marketing, rétention).
• Sources de données : chaque entrée que le système consomme, en marquant celles qui qualifient comme ECDIS.
• Owner : un humain nommé avec l'autorité de prendre des décisions sur le système. Pas « l'équipe data ».
• Attribution fournisseur : d'où viennent le modèle ou les données et sous quel contrat, lié au texte du contrat.
• Risk tier : combien de préjudice consommateur le système peut causer, pour que la cadence de tests soit dimensionnée en conséquence.
• Testing status : le dernier test d'impact disparate exécuté sur le système et son résultat.
• Lifecycle stage : en développement, en production ou en retrait.

Un tableur fonctionne pour un pilote et devient un passif l'année deux, parce que l'inventaire est un enregistrement vivant qui change chaque fois qu'un fournisseur pousse une mise à jour et doit rester relié aux résultats de tests, aux incidents et aux attestations. La plupart des assureurs à grande échelle utilisent un model inventory structuré — ce autour de quoi VerifyWise est construit — mais l'outil compte moins que la discipline de tenir la liste à jour et reliée.

L'échec plus dangereux est silencieux. Les flux ECDIS comme la télématique, l'imagerie aérienne, les scores de consortiums anti-fraude tiers et les attributs démographiques ajoutés par des courtiers de données arrivent généralement via des équipes opérationnelles qui ne se voient pas comme des propriétaires de modèles. Ils finissent hors de l'inventaire à moins que quelqu'un ne les cherche spécifiquement. C'est la lacune que la revue des sources de données par la Division est conçue pour trouver.

Partie 02 : mettre en place la gouvernance

Regulation 10-1-1 est inhabituellement claire sur le fait qu'un programme SB 21-169 est un programme de senior management, pas un programme technique. Les trois premières demandes d'un examinateur durant une revue de market conduct sont vos politiques écrites, vos rôles documentés et les minutes de votre comité de gouvernance. Un assureur qui ne peut pas les produire à la demande a effectivement confirmé que le programme est informel — ce qui est en soi un finding.

La couche gouvernance a quatre ingrédients :

• Des politiques écrites couvrant l'acquisition, la validation, le déploiement, la surveillance et la mise au rebut des modèles, algorithmes et ECDIS, avec une approbation du senior management ou du conseil datée.
• Une cartographie des rôles avec des personnes nommées en actuariat, data science, souscription, conformité, juridique et IT — chacune avec une autorité clairement déléguée plutôt qu'assumée.
• Un comité transverse, généralement mensuel ou trimestriel, où les décisions sur les modèles à fort impact sont prises et consignées plutôt que traitées dans des fils d'e-mails qui s'évanouissent dans des boîtes archivées.
• Une supervision continue, qui veut dire que le senior management reste dans la boucle sur les résultats de tests, les incidents, les remédiations et les changements fournisseurs tout au long de l'année — pas seulement au moment de l'attestation.

L'échec de gouvernance le plus courant que nous voyons n'est pas l'absence mais la vague stratégique. Une politique qui dit les modèles seront validés régulièrement est pire que pas de politique, parce qu'elle crée une obligation explicite que l'assureur ne peut pas démontrer avoir remplie — et tend à la Division une ligne d'interrogation directe. Les bonnes politiques précisent qui valide, à quelle cadence, avec quelle méthodologie, contre quel seuil et avec quelle conséquence quand le seuil est franchi. Notre module risk management encode cela comme un cadre structuré avec des preuves liées à chaque contrôle — mais la même rigueur peut être produite sur papier.

Partie 03 : lancer des tests quantitatifs

Le régime de tests est ce qui distingue SB 21-169 des autres cadres de gouvernance IA. Là où d'autres régimes demandent des tests comme obligation générale, Regulation 10-1-1 demande des tests quantitatifs avec des méthodes statistiques spécifiques sur des données que la Division peut inspecter.

Ce que la Division teste. L'objet est l'impact disparate, pas le traitement disparate. Rien ne dépend de savoir si vos modèles utilisent la race comme entrée ; le secteur a arrêté ça il y a longtemps. La question est de savoir si la sortie produit des taux matériellement différents entre classes protégées après prise en compte d'une variation actuarielle légitime. Les classes protégées au titre de 10-1-1 incluent race, couleur, origine nationale, religion, sexe, orientation sexuelle, handicap, identité de genre et expression de genre. L'âge est traité séparément sous les règles de tarification existantes.

La règle des quatre cinquièmes. Pour chaque classe protégée, calculez le selection rate, c'est-à-dire la proportion de candidats de cette classe qui reçoivent le résultat favorable. Divisez le selection rate de la classe minoritaire par celui de la classe de référence pour obtenir l'impact ratio. Un ratio de 0,80 ou plus est dans la tolérance ; en dessous, c'est un finding qui exige explication, justification ou remédiation.

Le problème des données raciales et BISG. Les assureurs ne collectent pas la race directement et ne peuvent pas commencer à le faire. Regulation 10-1-1 attend des assureurs qu'ils utilisent des proxies probabilistes validés. Le défaut est le Bayesian Improved Surname Geocoding (BISG), qui combine un nom et une localisation géographique pour estimer une distribution de probabilité sur les catégories raciales. La Division a accepté BISG dans les attestations jusqu'à présent, avec la réserve que les assureurs documentent comment ils ont validé le proxy sur leur propre portefeuille. Les résultats BISG arrivent avec des intervalles de confiance, pas des estimations ponctuelles — et dire nous avons utilisé BISG est un point de départ, pas une réponse.

Cadence et déclencheurs. Regulation 10-1-1 ne prescrit pas de fréquence. Les assureurs vie se sont stabilisés sur un rythme trimestriel avec une revue annuelle plus approfondie liée à l'attestation de décembre ; les assureurs auto et santé suivent pour la plupart. Tout changement matériel de modèle, de données ou de tarif déclenche son propre test — parce qu'attendre le prochain cycle trimestriel pour découvrir qu'un changement poussé a produit un nouvel impact disparate est exactement le genre de lacune de gouvernance que la Division recherche.

Partie 04 : exemple chiffré pour Mesa Mutual

Un test d'impact disparate est plus facile à comprendre une fois qu'on en a vu un exécuté de bout en bout.

Mesa tire les demandes de nouveaux contrats du dernier trimestre qui auraient été tarifées sous le nouveau facteur : 42 000 candidats. Le résultat favorable est d'être placé dans le tier standard préféré plutôt que dans un tier plus cher. Mesa exécute BISG contre les noms et les codes ZIP, traite un candidat comme une classe unique quand BISG attribue une probabilité supérieure à 0,80, et marque le reste comme mixte.

Les candidats Native Hawaiian et Pacific Islander (0,8 %) tombent sous le seuil d'exclusion de 2 % et sont retirés du calcul du ratio.

Le comité de gouvernance de Mesa envisage trois options : justifier le facteur actuariellement, remédier en ajustant le plan de tarification ou retirer le facteur. Il choisit la remédiation : réduire le poids du facteur crédit et ajouter un facteur de souscription compensatoire dont des tests empiriques suggèrent qu'il réduit l'écart sans dégrader la précision prédictive.

Deux semaines plus tard, Mesa relance le test sur le plan ajusté. Le ratio de la classe Black passe de 0,76 à 0,83 ; Hispanic de 0,82 à 0,87. Mesa documente le finding initial, la justification du comité, l'ajustement, le résultat du retest et la signature finale. Tout cela va dans le testing log, lié à l'entrée d'inventaire, et apparaît dans l'attestation du 1er décembre comme un finding documenté avec une remédiation propre.

L'enjeu n'est pas le calcul, qui est simple une fois l'étape du proxy réglée. L'enjeu, ce sont les artefacts. Un programme qui ne produit que le plan de tarification final révisé n'a rien à montrer à la Division. Un programme qui produit le testing log, le minute du comité, la preuve du retest et l'entrée d'inventaire révisée traverse l'examen sans stress.

Partie 05 : superviser les fournisseurs et les ECDIS

L'erreur la plus coûteuse que nous voyons dans les programmes SB 21-169 est de supposer que la diligence fournisseur transfère la responsabilité juridique. Elle ne le fait pas. Si le modèle d'un fournisseur produit un impact disparate dans votre portefeuille, le finding est contre vous.

Cela produit trois obligations opérationnelles :

• Une diligence pré-onboarding qui consigne par écrit l'approche du fournisseur sur le biais, la méthodologie de tests et la traçabilité des données. Une certification fournisseur est une preuve, pas un substitut à la propre diligence de l'assureur.
• Des clauses contractuelles qui mordent : droits d'audit, accès aux données de tests, coopération avec les enquêtes réglementaires, droits de résiliation liés aux échecs de conformité. Les contrats standardisés contiennent rarement quoi que ce soit de cela.
• Une surveillance continue. Les modèles fournisseurs sont mis à jour, les flux de données dérivent, et un système fournisseur qui passait il y a six mois peut échouer au test suivant sans aucun changement du côté de l'assureur.

La chaîne de responsabilité traverse MGA, TPA et réassureurs. Une MGA qui souscrit sur votre papier opère sous votre programme. Un TPA qui gère le tri des sinistres en votre nom traite les décisions régulées que le statut couvre. La question n'est jamais de savoir si un fournisseur est à l'intérieur ou à l'extérieur de la frontière de l'entreprise ; elle est de savoir à quel programme appartient la preuve quand un examinateur de la Division demande. Notre module vendor management est construit autour de cette question — mais toute approche qui garde la supervision fournisseur connectée au moteur de tests, plutôt que parquée dans les réunions achats, satisfait au standard.

Partie 06 : traiter les tests échoués

Regulation 10-1-1 n'interdit pas les findings d'impact disparate. Elle interdit de les ignorer.

Quand un test échoue, trois voies sont ouvertes :

• Justification actuarielle : montrer que le facteur reflète une expérience de perte authentique et qu'aucune alternative moins discriminatoire n'atteint le même objectif actuariel.
• Remédiation : ajuster le modèle, les données, le plan de tarification ou la règle jusqu'à ce que le ratio revienne dans la tolérance. Retester et documenter.
• Retrait : mettre le système hors service quand ni la justification ni la remédiation ne sont faisables.

L'obligation de documentation est la même pour les trois. La Division veut voir le test échoué, la justification de la décision, l'action prise, et la preuve que l'action a fonctionné.

Le workflow ressemble structurellement à de la gestion d'incident : un finding ouvre un dossier, la gouvernance le revoit, un owner exécute la réponse, un retest ou une justification le clôt. Notre module incident management encode ce workflow et relie chaque finding au model inventory et au testing log. Les assureurs qui traitent les findings par fils d'e-mails les perdent invariablement de vue.

Partie 07 : déposer l'attestation annuelle

L'attestation annuelle confirme qu'un programme existe, fonctionne, et produit les preuves que le règlement réclame. Pour les assureurs vie, la date limite est le 1er décembre chaque année. Les assureurs auto et santé devraient s'attendre à une cadence similaire une fois les règles sectorielles finalisées.

La signature relève du senior management, généralement le CRO, le CCO ou équivalent. La Division attend que le signataire ait réellement examiné le dépôt.

Une attestation défendable confirme que :

• Un cadre de gouvernance écrit existe et est approuvé au niveau approprié.
• L'inventaire des modèles est à jour.
• Les tests quantitatifs ont été menés à la cadence requise sur les modèles et sources de données dans le périmètre.
• Les findings de l'année ont été enregistrés et remédiés.
• Tout changement matériel du programme est documenté.

Une attestation maigre offre généralement une déclaration générale de conformité sans les artefacts sous-jacents. La Division a signalé qu'elle relancerait plus agressivement sur les dépôts qui paraissent légers. Cacher des findings est pire que les rapporter : une année sans finding d'impact disparate sur un grand portefeuille est statistiquement implausible et tend à inviter le scrutin que l'assureur essayait d'éviter.

Douze questions qu'un examinateur posera

Un des exercices les plus utiles que tout assureur peut mener avant son premier market conduct exam au titre de 10-1-1 est un test simple : le programme peut-il produire, à la demande, chacun des artefacts suivants en un jour ouvré ? Un assureur qui en passe dix sur douze est en bonne forme. Un assureur qui en passe moins de huit devrait traiter l'écart comme la priorité de court terme.

SB 21-169 dans la pile IA Colorado plus large

SB 21-169 n'opère pas en isolation. Tout assureur licencié au Colorado utilisant de l'IA est aussi sous le NAIC Model Bulletin si son État d'origine l'a adopté, et chacun d'eux sera sous SB 24-205 à partir du 30 juin 2026. Trois régimes, trois régulateurs, une seule entreprise.

Un programme SB 21-169 sérieux couvre déjà l'essentiel de SB 24-205 et du NAIC bulletin. Gouvernance, inventaire, supervision fournisseur et gestion d'incident sont effectivement identiques. SB 24-205 ajoute notice consommateur et un document formel d'impact assessment ; le NAIC bulletin ajoute un document AIS Program dans un format précis. Les deux ajouts sont incrémentaux plutôt que des constructions parallèles. Pour les traitements plus larges, notre page Colorado AI Act couvre SB 24-205, et notre page NAIC AI Principles parcourt le Model Bulletin clause par clause.

Ce qui pourrait encore bouger en 2026

Trois développements pourraient déplacer le sol. Aucun n'est une raison de retarder le programme.

• Rulemaking auto et santé. Des règles sectorielles équivalentes à 10-1-1 sont en préparation. Attendez-vous à des projets soumis à commentaires publics durant 2026. Les règles finales suivront probablement 10-1-1 de près, mais des seuils spécifiques et des cadences de dépôt pourraient différer.
• SB 24-205 en vigueur. Le 30 juin 2026 met le Colorado AI Act en vigueur. Les assureurs qui font déjà tourner des programmes SB 21-169 font face à un travail incrémental modeste : notice consommateur, documentation d'impact assessment, preuves d'affirmative defense.
• Contentieux. xAI a poursuivi le Colorado au sujet de SB 24-205 sur des fondements du Premier Amendement. L'affaire vise spécifiquement SB 24-205 ; SB 21-169 n'est pas dans le contentieux. Une contestation réussie laisserait le régime de la Division intact mais changerait l'environnement politique autour des règles IA du Colorado plus largement.

La première semaine d'un programme sérieux

Une implémentation complète de SB 21-169 est une construction sur plusieurs trimestres pour un assureur qui part de zéro. La première semaine, en revanche, est étonnamment simple. Cinq actions la couvrent :

Aucune de ces cinq actions ne requiert une plateforme, un engagement de conseil ou des dépenses initiales significatives. Elles requièrent discipline et honnêteté sur l'état du programme.

La plupart des assureurs à grande échelle convergent finalement vers les mêmes besoins opérationnels : un model inventory structuré, une couche de supervision fournisseur, un moteur de tests qui journalise méthodologie et résultats, un workflow de gestion d'incident pour les tests échoués et un cadre de conformité qui assemble la trousse de preuves à la demande. VerifyWise est construit autour de cette forme et est utilisé aujourd'hui par des assureurs qui font tourner des programmes SB 21-169 — mais la question de l'outillage est pour le mois trois, pas pour la semaine un.

Dates à mettre sur le calendrier de conformité

Trois dates au cours des dix-huit prochains mois détermineront combien de marge votre programme a.

Si votre programme est en retard, le chemin en avant est plus court qu'il n'y paraît. La Division n'attend pas la perfection à la première attestation, et les assureurs qui arrivent avec un vrai programme et des findings honnêtes ont tendance à avoir des conversations productives plutôt que des actions d'application. Si vous voulez un sanity check sur l'état de votre programme, contactez-nous ou démarrez une évaluation de conformité.