Colorado AI Act

Guide de conformite a la loi sur l'IA du Colorado

La premiere loi americaine complete sur l'IA au niveau des Etats. Le Colorado SB 24-205 exige des deploieurs et developpeurs qu'ils previennent la discrimination algorithmique dans les decisions consequentielles. En vigueur le 1er fevrier 2026, avec des defenses affirmatives disponibles par la conformite au NIST AI RMF ou a l'ISO 42001.

Demarrer l'evaluation de conformite Reserver un appel de mise en oeuvre

Qu'est-ce que la loi sur l'IA du Colorado ?

La loi sur l'intelligence artificielle du Colorado (Senate Bill 24-205) est la premiere loi complete d'un Etat americain reglementant les systemes d'intelligence artificielle. Signee le 17 mai 2024, elle etablit des obligations pour les developpeurs et deploieurs de systemes d'IA a haut risque utilises dans les decisions consequentielles.

Pourquoi c'est important : La loi du Colorado cree un precedent pour la reglementation de l'IA aux Etats-Unis. Elle se concentre sur la prevention de la discrimination algorithmique tout en fournissant des defenses affirmatives aux organisations qui adoptent des cadres de gestion des risques IA reconnus.

Date d'entree en vigueur

1er fevrier 2026

Defense affirmative

Conformite NIST AI RMF ou ISO 42001

Complete la mise en oeuvre du NIST AI RMF et la conformite au Reglement europeen sur l'IA.

Qui doit se conformer ?

Deploieurs utilisant l'IA dans les decisions consequentielles

Organisations utilisant des systemes d'IA a haut risque pour l'emploi, l'education, la finance, la sante, le logement, l'assurance, les services juridiques ou gouvernementaux

Developpeurs de systemes d'IA

Entreprises developpant ou modifiant substantiellement des systemes d'IA destines au deploiement au Colorado

Employeurs utilisant des outils de recrutement IA

Entreprises utilisant des systemes algorithmiques pour le tri de CV, l'evaluation des candidats ou les decisions d'emploi

Institutions financieres

Preteurs et prestataires de services financiers utilisant l'IA pour les decisions de credit, approbations de prets ou services financiers

Prestataires de soins de sante

Organisations utilisant l'IA pour le diagnostic, les recommandations de traitement ou la prestation de services de sante

Agences gouvernementales

Agences etatiques et locales du Colorado deployant des systemes d'IA affectant les residents

Comment VerifyWise soutient la conformite a la loi sur l'IA du Colorado

VerifyWise fournit un preset Colorado SB 24-205 operant en mode evaluation d'impact, offrant des modeles d'evaluation structures couvrant chaque section requise par la loi

Exigence Colorado SB 205

Couverture VerifyWise

Evaluation d'impact pour la discrimination algorithmique

Modele d'evaluation d'impact structure avec des sections dediees pour chaque exigence legale

Couverture de 13 classes protegees

Categories preconfigurees incluant race, sexe, handicap, age, identite de genre, et plus

Documentation d'alignement NIST AI RMF

Section d'evaluation dediee pour les preuves d'alignement NIST AI RMF

Registres d'analyse des risques et d'attenuation

Champs de metadonnees requis pour l'analyse des risques, les metriques de performance et les mesures d'attenuation

Capacites de conformite supplementaires

Cadre de politique de gestion des risques

Generez des politiques de gestion des risques conformes au Colorado qui traitent de la prevention de la discrimination algorithmique. La plateforme maintient la documentation et la structure de politique requises par le SB 24-205 pour les deploiements et les developpeurs.

Couvre : Obligation du deploieur : Politique et programme de gestion des risques

Flux de travail d'evaluation d'impact

Realisez et documentez des evaluations d'impact de discrimination algorithmique pour les systemes d'IA a haut risque. La plateforme capture l'objectif, les metriques de deploiement, les mesures de transparence et la documentation d'attenuation des risques requises avant le deploiement.

Couvre : Obligation du deploieur : Evaluation d'impact avant le deploiement

Gestion des notifications aux consommateurs

Suivez les obligations de notification des consommateurs pour les decisions consequentielles. La plateforme vous aide a identifier quand les notifications sont requises et maintient les registres de conformite en matiere de divulgation pour l'utilisation de systemes d'IA a haut risque.

Couvre : Obligation du deploieur : Notification et droit de refus des consommateurs

Planification des revisions annuelles

Planifiez et documentez les revisions annuelles des systemes d'IA a haut risque. La plateforme suit les echeances de revision, maintient les registres de revisions historiques et assure la conformite continue aux exigences de surveillance.

Couvre : Obligation du deploieur : Revisions annuelles des evaluations d'impact

Suivi de la documentation des developpeurs

Maintenez la documentation des capacites, limites connues, cas d'utilisation a haut risque et utilisation des donnees des systemes d'IA. La plateforme genere la documentation technique que les developpeurs doivent fournir aux deploieurs en vertu de la loi du Colorado.

Couvre : Obligation du developpeur : Documentation et divulgation

Preparation de la defense affirmative

Demontrez la conformite au NIST AI RMF ou a l'ISO 42001 pour etablir une defense affirmative contre les penalites. La plateforme cartographie vos controles vers des cadres reconnus et genere des packages de preuves pour les procedures d'application.

Couvre : Les deux roles : Defense affirmative par la conformite aux cadres

Toutes les activites de conformite incluent des horodatages, des proprietaires assignes et des pistes d'audit. Cette documentation systematique demontre des efforts de conformite de bonne foi et soutient la preparation de la defense affirmative.

Couverture complete des exigences de la loi sur l'IA du Colorado

VerifyWise fournit des outils dedies pour toutes les obligations de conformite

Domaines d'exigences de conformite

Domaines avec outils dedies

100%

Couverture des obligations essentielles

Gestion des risques4/4

Politiques, evaluations, revisions, documentation

Evaluations d'impact3/3

Objectif, avantages, metriques de deploiement

Notifications aux consommateurs2/2

Divulgation haut risque, droits de refus

Conformite annuelle3/3

Revisions annuelles, mises a jour, registres

Concu pour la conformite a la loi sur l'IA du Colorado des le depart

Suivi de la discrimination algorithmique

Surveillez la discrimination dans les classes protegees

Modeles d'evaluation d'impact

Modeles specifiques au Colorado avec tous les elements requis

Preparation de la defense affirmative

Packages de preuves de conformite NIST AI RMF et ISO 42001

Conformite multi-etats

Vue integree entre les exigences du Colorado, du Texas et federales

Exigences de conformite cles

Obligations essentielles en vertu de la loi sur l'IA du Colorado

Prevention de la discrimination algorithmique

Les systemes d'IA a haut risque ne doivent pas discriminer sur la base de classes protegees lors de la prise de decisions consequentielles.

Protocoles de prevention de la discrimination
Surveillance des classes protegees
Systemes de detection des biais
Procedures d'action corrective

Evaluations d'impact

Les deploieurs doivent realiser des evaluations d'impact avant d'utiliser des systemes d'IA a haut risque dans les decisions consequentielles.

Documentation de l'objectif et du cas d'utilisation
Analyse des avantages et des couts
Metriques de deploiement et d'utilisation
Transparence de la gouvernance des donnees

Notifications aux consommateurs

Les consommateurs doivent etre informes lorsque des systemes d'IA a haut risque sont utilises dans les decisions consequentielles les affectant.

Exigences de divulgation claires
Fourniture d'un mecanisme de refus
Options de prise de decision alternatives
Declaration de l'objectif du systeme d'IA

Revisions annuelles

Les evaluations d'impact doivent etre revisees et mises a jour au moins annuellement ou lors de modifications substantielles.

Planification des revisions annuelles
Mises a jour des metriques de performance
Efficacite de l'attenuation des risques
Documentation des changements

Domaines de decisions consequentielles

Les systemes d'IA a haut risque sont ceux utilises dans les decisions qui affectent materiellement ces domaines

Emploi

Recrutement, licenciement, promotion, remuneration, affectation de travail

Education

Inscription, bourses, aide financiere, admissions

Services financiers

Credit, prets, approbation de prets, produits financiers

Sante

Diagnostic, traitement, acces aux soins, couverture d'assurance

Logement

Demandes de location, selection des locataires, acces au logement

Assurance

Tarification, souscription, decisions de sinistres, couverture

Services juridiques

Acces a la representation juridique, evaluation des dossiers

Services gouvernementaux

Eligibilite aux prestations, acces aux services publics

Obligations du deploieur vs developpeur

Differentes exigences selon votre role dans le cycle de vie de l'IA

Deploieur

Organisations utilisant des systemes d'IA a haut risque pour prendre ou assister substantiellement les decisions consequentielles

Obligations cles

Mettre en oeuvre une politique et un programme de gestion des risques
Realiser des evaluations d'impact avant le deploiement
Fournir des notifications aux consommateurs
Etablir des mecanismes de refus
Realiser des revisions annuelles
Maintenir la documentation de conformite
Signaler les decouvertes de discrimination au procureur general

Date limite de conformite : 1er fevrier 2026

Developpeur

Personnes ou entites qui developpent ou modifient intentionnellement et substantiellement des systemes d'IA

Obligations cles

Fournir une declaration d'information generale
Documenter les limites connues
Identifier les utilisations a haut risque prevues
Divulguer les exigences d'utilisation des donnees
Fournir des materiaux de gestion aux deploieurs
Rendre la documentation publiquement disponible
Signaler les decouvertes de discrimination au procureur general

Date limite de conformite : 1er fevrier 2026

Feuille de route de mise en oeuvre sur 12 mois

Un parcours pratique vers la conformite a la loi sur l'IA du Colorado avant le 1er fevrier 2026

Phase 1Mois 1-3

Inventaire et classification

Identifier tous les systemes d'IA en cours d'utilisation
Classifier les systemes a haut risque vs non-haut risque
Determiner les roles de deploieur vs developpeur
Identifier les points de decision consequentiels
Etablir un comite de gouvernance

Phase 2Mois 4-6

Fondation de la gestion des risques

Developper une politique de gestion des risques
Creer des modeles d'evaluation d'impact
Concevoir les processus de notification des consommateurs
Etablir des mecanismes de refus
Mettre en place des systemes de documentation

Phase 3Mois 7-10

Evaluations d'impact

Realiser des evaluations d'impact pour les systemes a haut risque
Documenter l'objectif et les avantages
Analyser les metriques de deploiement
Evaluer les risques de discrimination
Mettre en oeuvre des mesures d'attenuation

Phase 4Mois 11-12

Activation de la conformite

Activer les systemes de notification des consommateurs
Deployer les mecanismes de refus
Planifier les cycles de revision annuels
Former le personnel sur les obligations
Preparer les preuves de defense affirmative

Penalites et application

Comprendre le paysage d'application et les defenses affirmatives

Application par le procureur general du Colorado

Le procureur general du Colorado a l'autorite exclusive d'application en vertu de la loi. Il n'y a pas de droit d'action prive. Le procureur general peut enqueter sur les infractions, emettre des demandes d'investigation civile et engager des actions d'application pour non-conformite. Contactez le bureau du procureur general sur coag.gov.

Infractions des deploieurs

20 000 $ par infraction

Par decision consequentielle affectee

Infractions des developpeurs

20 000 $ par infraction

Par deploieur affecte

Decouverte de discrimination (defaut de signalement)

Penalites supplementaires

Pour ne pas avoir notifie le procureur general dans les 90 jours

Delai de correction disponible

60 jours pour corriger

Premiere infraction avec effort de conformite de bonne foi

Defense affirmative par la conformite aux cadres

Les organisations qui se conforment substantiellement a un cadre de gestion des risques IA reconnu et continuent des efforts raisonnables de conformite peuvent etablir une defense affirmative contre les penalites monetaires (mais pas contre d'autres actions d'application).

NIST AI RMF

Conformite au cadre de gestion des risques IA du NIST

Cas d'utilisation : Demontre une approche systematique de gestion des risques

VerifyWise : Implementation complete du NIST AI RMF et generation de preuves

ISO 42001

Certification au systeme de management de l'IA ISO 42001

Cas d'utilisation : Demontre un standard international reconnu de gouvernance IA

VerifyWise : Evaluation de readiness ISO 42001 et cartographie des controles

Modeles de politiques

Modeles de politiques pour la loi sur l'IA du Colorado

Accedez a des modeles de politiques prets a l'emploi alignes sur les exigences de la loi sur l'IA du Colorado, le NIST AI RMF et l'ISO 42001

Politiques du deploieur

• Politique de gestion des risques
• Politique d'evaluation d'impact
• Politique de notification des consommateurs
• Procedures de refus
• Politique de revision annuelle
• Signalement de la discrimination
+ 3 autres politiques

Politiques du developpeur

• Standards de documentation
• Divulgation des limites connues
• Politique des cas d'utilisation a haut risque
• Exigences d'utilisation des donnees
• Materiaux de support au deploieur
• Politique d'information publique
+ 2 autres politiques

Politiques partagees

• Prevention de la discrimination algorithmique
• Surveillance des classes protegees
• Detection et attenuation des biais
• Procedures de signalement au procureur general
• Preparation de la defense affirmative
• Conformite multi-etats
+ 4 autres politiques

Parcourir tous les modeles de politiques

Questions frequemment posees

Questions courantes sur la conformite a la loi sur l'IA du Colorado

La loi sur l'intelligence artificielle du Colorado (SB 24-205) a ete signee le 17 mai 2024 et entre en vigueur le 1er fevrier 2026. Les organisations ont jusqu'a cette date pour etablir leurs programmes de conformite. Consultez le texte officiel du projet de loi sur leg.colorado.gov/bills/sb24-205.

Un systeme d'IA a haut risque est tout systeme d'IA qui, lorsqu'il est deploye, prend ou est un facteur substantiel dans la prise d'une decision consequentielle. Les decisions consequentielles incluent celles affectant l'emploi, l'education, les services financiers, la sante, le logement, l'assurance, les services juridiques ou les prestations et services gouvernementaux.

Vous etes un deploieur si vous utilisez un systeme d'IA a haut risque pour prendre des decisions consequentielles au Colorado. Vous etes un developpeur si vous creez ou modifiez substantiellement des systemes d'IA destines a etre utilises comme systemes a haut risque. Certaines organisations peuvent etre a la fois deploieurs (pour l'IA qu'elles utilisent) et developpeurs (pour l'IA qu'elles construisent).

Les deploieurs doivent mettre en oeuvre des politiques de gestion des risques, realiser des evaluations d'impact, notifier les consommateurs et fournir des mecanismes de refus. Les developpeurs doivent fournir de la documentation, divulguer les limites connues, identifier les utilisations a haut risque et rendre certaines informations publiquement disponibles. Les deux doivent signaler les decouvertes de discrimination au procureur general du Colorado.

La discrimination algorithmique se produit lorsqu'un systeme d'IA differencie illegalement dans le traitement ou l'impact base sur des classifications protegees telles que l'age, la race, le handicap, l'ethnicite, la religion, le sexe ou d'autres classes protegees par la loi du Colorado ou federale. La loi interdit cela dans les decisions consequentielles.

Les evaluations d'impact doivent documenter l'objectif du systeme d'IA, les cas d'utilisation prevus et les avantages, les categories de donnees traitees, les limites connues, les mesures de transparence, les metriques d'evaluation de la performance et de l'equite, les etapes d'attenuation des risques et les procedures de surveillance post-deploiement. Les evaluations doivent etre revisees annuellement.

Lorsque vous utilisez des systemes d'IA a haut risque dans les decisions consequentielles, vous devez fournir un avis clair et visible aux consommateurs affectes. L'avis doit expliquer que l'IA est utilisee, l'objectif du systeme, la nature de la decision consequentielle et comment refuser ou demander un processus alternatif.

Les deploieurs doivent fournir aux consommateurs la possibilite de refuser le profilage en vue de decisions produisant des effets juridiques ou similairement significatifs. Cela signifie offrir un processus de decision alternatif base sur l'humain lorsque les consommateurs le demandent, bien que des exceptions limitees s'appliquent.

Oui. Si vous vous conformez substantiellement a un cadre de gestion des risques reconnu comme le NIST AI RMF ou l'ISO 42001 et continuez a faire des efforts raisonnables pour vous conformer a la loi, vous pouvez etablir une defense affirmative contre les penalites. Cela n'elimine pas les actions d'application mais protege contre les penalites financieres.

La loi s'applique lorsque des systemes d'IA a haut risque sont utilises pour prendre des decisions consequentielles concernant les residents du Colorado, quel que soit le lieu ou se trouve le deploieur ou le developpeur. Si vos systemes d'IA affectent des personnes au Colorado dans les domaines de decision couverts, vous devez vous conformer.

Les deploieurs et les developpeurs doivent notifier le procureur general du Colorado dans les 90 jours suivant la decouverte qu'un systeme d'IA a haut risque a cause une discrimination algorithmique. Le bureau du procureur general peut etre contacte via coag.gov. Le defaut de signalement peut entrainer des penalites supplementaires.

Oui. La loi exempte les systemes d'IA utilises uniquement pour detecter, prevenir ou enqueter sur la fraude ; effectuer des taches procedurales etroites ; mener des fonctions anti-malware/cybersecurite ; et certaines IA utilisees en conformite avec les lois federales. Les institutions financieres conformes aux exigences federales de gestion des risques IA beneficient egalement d'exemptions limitees.

Alors que le Colorado se concentre sur la discrimination algorithmique dans les decisions consequentielles, le Reglement europeen sur l'IA utilise un systeme de classification par niveaux de risque plus large. Les deux sont des approches basees sur les risques. Les organisations operant a l'echelle mondiale devraient mettre en place des controles satisfaisant les exigences des deux cadres.

Vous devez conserver les evaluations d'impact, les politiques de gestion des risques, les notifications aux consommateurs, les demandes et reponses de refus, la documentation des revisions annuelles et les registres de toute decouverte de discrimination et des efforts de remediation. Ces registres peuvent etre demandes par le procureur general du Colorado lors d'actions d'application.

Oui, VerifyWise fournit des flux de travail d'evaluation d'impact, des modeles de politique de gestion des risques, un suivi des notifications aux consommateurs, une planification des revisions annuelles et une preparation de la defense affirmative. Nous cartographions vos controles vers le NIST AI RMF et l'ISO 42001 pour aider a etablir la protection de defense affirmative.

Pret pour la conformite a la loi sur l'IA du Colorado ?

Commencez votre parcours de conformite avec notre evaluation et nos outils de mise en oeuvre pour la loi sur l'IA du Colorado. Preparez-vous avant la date d'entree en vigueur du 1er fevrier 2026.

Demarrer l'evaluation de conformite Planifier une consultation