Loi ADMT du Colorado · SB 26-189

Conformite Colorado SB 26-189 (ADMT)

Le Colorado a abroge et remplace sa loi sur l'IA (SB 24-205) en mai 2026. La nouvelle loi sur la technologie de prise de decision automatisee exige des avis prealables aux consommateurs, des explications de resultats defavorables sous 30 jours, une revision humaine significative et une documentation des developpeurs, avec entree en vigueur le 1er janvier 2027.

Entree en vigueur
1er janvier 2027
Delai de remediation
60 jours
Autorite
Procureur general
Demarrer l'evaluation de conformiteReserver un appel de mise en oeuvre

Qu'est-ce que le Colorado SB 26-189 ?

Le Senate Bill 26-189, signe le 14 mai 2026, est la loi du Colorado regissant la technologie de prise de decision automatisee (ADMT). Il abroge et remplace le Colorado AI Act (SB 24-205), la premiere loi complete d'un Etat americain sur l'IA, qui n'est jamais entree en vigueur : sa date de demarrage avait ete reportee du 1er fevrier au 30 juin 2026 par le SB 25B-004 avant que le SB 26-189 ne remplace entierement ce cadre.

Ce qui a change : la classification de l'IA a haut risque, les programmes obligatoires de gestion des risques, les evaluations d'impact annuelles et le devoir de diligence ont disparu. A leur place, le SB 26-189 reglemente les ADMT qui influencent materiellement des decisions consequentielles, avec des obligations centrees sur l'avis aux consommateurs, les explications de resultats defavorables, la revision humaine significative et la documentation des developpeurs.

Date d'entree en vigueur

1er janvier 2027

Obligations centrales

Avis, explications sous 30 jours, revision humaine

Complete la mise en oeuvre du NIST AI RMF et la conformite au Reglement europeen sur l'IA. Les assureurs agrees au Colorado devraient aussi consulter le guide SB 21-169 : les assureurs conformes a ce regime sont generalement reputes conformes au SB 26-189 dans la pratique de l'assurance.

Qui doit se conformer ?

Deploieurs utilisant l'ADMT dans les decisions consequentielles

Organisations dont la technologie de prise de decision automatisee influence materiellement des decisions concernant l'education, l'emploi, le logement, la finance, la sante, l'assurance ou les services gouvernementaux

Developpeurs d'ADMT

Entreprises developpant ou modifiant substantiellement des technologies de prise de decision automatisee utilisees dans des decisions consequentielles affectant le Colorado

Employeurs utilisant des outils de recrutement IA

Entreprises utilisant des systemes algorithmiques pour le tri de CV, l'evaluation des candidats ou les decisions d'emploi, y compris pour les candidats residant au Colorado

Institutions financieres

Preteurs et prestataires de services financiers utilisant l'ADMT pour les decisions de credit, les conditions de pret ou les produits financiers

Organisations de sante

Prestataires et payeurs utilisant l'ADMT dans les decisions d'acces aux soins ou d'aide financiere (les entites couvertes par HIPAA sont largement exemptees, avec des obligations de divulgation limitees)

Agences gouvernementales

Agences etatiques et locales du Colorado deployant des ADMT affectant l'acces aux services gouvernementaux essentiels et aux prestations publiques

Comment VerifyWise soutient la conformite au SB 26-189

VerifyWise fournit un preset Colorado SB 26-189 qui suit chaque avis, explication, revision et obligation de documentation exiges par la loi

Exigence SB 26-189
Couverture VerifyWise
Avis prealable lorsqu'une ADMT couverte influence une decision consequentielle
Suivi des avis par systeme avec registres indiquant ou et quand les divulgations apparaissent aux points d'interaction avec les consommateurs
Explication du resultat defavorable sous 30 jours
Journaux de decision et workflows d'explication capturant le role de l'ADMT, les donnees d'entree et les instructions sur les droits des consommateurs
Revision humaine significative et reexamen
Files de revision avec affectation de reviseurs formes, autorite de derogation et documentation du reexamen
Documentation technique des developpeurs
Documentation structuree couvrant les utilisations prevues, les utilisations nuisibles connues, les categories de donnees d'entrainement et les limites connues

Capacites de conformite supplementaires

Inventaire et perimetre ADMT

Construisez un inventaire des systemes qui traitent des donnees personnelles et influencent materiellement des decisions consequentielles. La plateforme vous aide a classifier quelles technologies sont des ADMT couvertes en vertu du SB 26-189 et lesquelles relevent des exclusions legales.

Couvre : Les deux roles : Perimetre et classification

Gestion des avis prealables

Suivez les avis clairs et visibles que le SB 26-189 exige avant qu'une ADMT couverte soit utilisee dans une decision consequentielle. La plateforme enregistre ou les avis apparaissent, ce qu'ils disent et quand ils ont ete revises pour la derniere fois.

Couvre : Obligation du deploieur : Avis prealable aux consommateurs

Workflows d'explication des resultats defavorables

Lorsqu'une ADMT influence materiellement une decision defavorable, les deploieurs ont 30 jours pour envoyer une explication en langage clair. La plateforme gere le delai, le contenu de l'explication et les instructions sur les droits des consommateurs qui doivent l'accompagner.

Couvre : Obligation du deploieur : Avis de resultat defavorable sous 30 jours

Workflows de revision humaine

Documentez la revision humaine significative et les demandes de reexamen. La plateforme affecte des reviseurs formes disposant d'une autorite de derogation, capture les preuves qu'ils ont considerees et enregistre le resultat de chaque reexamen.

Couvre : Obligation du deploieur : Revision humaine significative

Suivi de la documentation des developpeurs

Maintenez la documentation technique que les developpeurs doivent fournir aux deploieurs : utilisations prevues et utilisations nuisibles connues, categories de donnees d'entrainement, limites connues et instructions pour l'utilisation appropriee, la surveillance et la revision humaine.

Couvre : Obligation du developpeur : Documentation et divulgation

Conservation des registres et pistes d'audit

Les developpeurs comme les deploieurs doivent conserver les registres de conformite pendant au moins trois ans. La plateforme horodate chaque avis, explication, revision et mise a jour de documentation afin que les preuves soient pretes si le procureur general les demande.

Couvre : Les deux roles : Conservation des registres pendant trois ans

Toutes les activites de conformite incluent des horodatages, des proprietaires assignes et des pistes d'audit. Cette documentation systematique satisfait l'exigence de conservation des registres pendant trois ans et garde les preuves pretes pour les demandes du procureur general.

Couverture complete des exigences du SB 26-189

VerifyWise fournit des outils dedies pour toutes les obligations de conformite

12

Domaines d'exigences de conformite

12

Domaines avec outils dedies

100%

Couverture des obligations essentielles

Avis aux consommateurs3/3

Avis prealable, explication de resultat defavorable, accessibilite

Revision humaine3/3

Workflows de revision, formation des reviseurs, registres de derogation

Documentation des developpeurs4/4

Utilisations prevues, limites, donnees d'entrainement, avis de mise a jour

Registres et preuves2/2

Conservation de trois ans, pistes d'audit

Concu pour la conformite ADMT du Colorado des le depart

Suivi des avis

Avis prealables et de resultat defavorable par systeme et par decision

Files de revision humaine

Affectation des reviseurs, registres de formation et documentation des derogations

Documentation des developpeurs

Utilisations prevues, limites et categories de donnees d'entrainement par systeme

Conformite multi-etats

Vue integree entre les exigences du Colorado, du Texas et federales

Exigences de conformite cles

Obligations essentielles en vertu de la loi ADMT du Colorado

Avis prealable aux consommateurs

Les deploieurs doivent fournir un avis clair et visible avant qu'une ADMT couverte soit utilisee pour influencer materiellement une decision consequentielle.

  • Avis bien visible aux points d'interaction avec les consommateurs
  • Explication que l'ADMT est ou sera utilisee
  • Instructions pour obtenir plus d'informations
  • Accessible aux personnes handicapees et a celles maitrisant peu l'anglais

Explication du resultat defavorable

Si une ADMT couverte influence materiellement une decision defavorable, le deploieur doit notifier le consommateur dans les 30 jours.

  • Explication de la decision en langage clair
  • Description du role de l'ADMT
  • Instructions pour demander des details sur le systeme et les donnees d'entree
  • Explication des droits dont dispose le consommateur

Revision humaine et correction des donnees

Apres un resultat defavorable, les consommateurs peuvent demander la correction des donnees et une revision humaine significative, dans la mesure ou cela est commercialement raisonnable.

  • Acces aux donnees personnelles inexactes et correction de celles-ci
  • Revision par une personne ayant l'autorite d'annuler la decision
  • Reviseurs formes qui ne s'en remettent pas au resultat automatise
  • Resultats de reexamen documentes

Documentation des developpeurs

Les developpeurs doivent fournir aux deploieurs une documentation technique raisonnablement comprehensible avant l'utilisation d'une ADMT couverte.

  • Utilisations prevues et utilisations nuisibles connues
  • Categories de donnees d'entrainement, dans la mesure ou elles sont connues
  • Limites connues, risques et utilisations a eviter
  • Instructions pour l'utilisation, la surveillance et la revision humaine

Domaines de decisions consequentielles

Une ADMT couverte est une technologie qui influence materiellement les decisions dans ces domaines

Education

Inscription, admissions, aide financiere, bourses

Emploi

Recrutement, licenciement, promotion, remuneration, affectation de travail

Logement

Demandes de location, selection des locataires, acces au logement

Services financiers et de pret

Credit, prets, conditions de pret, produits financiers

Sante

Acces aux soins, decisions de traitement, aide financiere

Assurance

Tarification, souscription, decisions de sinistres, couverture

Services gouvernementaux

Acces aux services gouvernementaux essentiels

Prestations publiques

Eligibilite et determinations des prestations

Utilisations exclues : cybersecurite, prevention de la fraude, filtrage du spam et des appels automatises, verification d'identite, lutte contre le blanchiment d'argent et fiabilite des systemes. Les services juridiques, couverts par le SB 24-205, ne sont plus un domaine de decision consequentielle.

Obligations du deploieur vs developpeur

Differentes exigences selon votre role dans le cycle de vie de l'ADMT

Deploieur

Organisations utilisant des ADMT couvertes pour influencer materiellement des decisions consequentielles concernant les consommateurs

Obligations cles

  • Identifier les ADMT couvertes utilisees dans les decisions consequentielles
  • Fournir un avis prealable clair et visible
  • Envoyer les explications de resultat defavorable sous 30 jours
  • Offrir une revision humaine significative et un reexamen
  • Honorer les demandes d'acces et de correction des donnees
  • Rendre les avis accessibles a tous les consommateurs
  • Conserver les registres de conformite pendant au moins trois ans
Date limite de conformite : 1er janvier 2027

Developpeur

Personnes ou entites qui developpent ou modifient substantiellement des technologies de prise de decision automatisee couvertes

Obligations cles

  • Documenter les utilisations prevues et les utilisations nuisibles connues
  • Divulguer les categories de donnees d'entrainement, dans la mesure ou elles sont connues
  • Documenter les limites connues, les risques et les utilisations a eviter
  • Fournir des instructions pour l'utilisation, la surveillance et la revision humaine
  • Fournir les informations dont les deploieurs ont besoin pour leurs divulgations
  • Notifier les deploieurs des mises a jour ou modifications importantes
  • Conserver les registres de conformite pendant au moins trois ans
Date limite de conformite : 1er janvier 2027

Feuille de route de mise en oeuvre

Un parcours pratique vers la conformite au SB 26-189 avant le 1er janvier 2027

Phase 1Mois 1-2

Inventaire et perimetre

  • Identifier les systemes qui traitent des donnees personnelles
  • Determiner lesquels influencent materiellement des decisions consequentielles
  • Cartographier les roles de deploieur vs developpeur
  • Documenter les exclusions et exemptions legales applicables
  • Etablir la responsabilite de la gouvernance
Phase 2Mois 3-4

Avis et documentation

  • Rediger des avis prealables clairs et visibles
  • Placer les avis aux points d'interaction avec les consommateurs
  • Collecter la documentation des developpeurs pour les systemes achetes
  • Preparer la documentation technique pour les ADMT que vous developpez
  • Mettre en place la conservation des registres sur trois ans
Phase 3Mois 5-6

Preparation aux resultats defavorables

  • Definir les resultats defavorables pour chaque domaine de decision
  • Construire les workflows d'explication sous 30 jours
  • Creer des modeles d'explications en langage clair
  • Mettre en place le traitement des demandes d'acces et de correction des donnees
  • Verifier les exigences d'accessibilite des avis
Phase 4Avant le 1er janvier 2027

Activation de la revision humaine

  • Designer des reviseurs disposant de l'autorite de derogation
  • Former les reviseurs sur les limites et les entrees des systemes
  • Connecter les files de revision aux journaux de decision
  • Tester le processus complet des droits des consommateurs
  • Suivre la reglementation du procureur general et s'adapter

Penalites et application

Comprendre le paysage d'application en vertu du SB 26-189

Application par le procureur general du Colorado

Le procureur general du Colorado dispose de l'autorite exclusive d'application, les infractions etant traitees comme des pratiques commerciales deloyales ou trompeuses en vertu du Colorado Consumer Protection Act. Il n'y a pas de droit d'action prive. Le procureur general doit adopter d'ici le 1er janvier 2027 des regles precisant les divulgations de resultats defavorables et a declare que l'application ne commencerait pas avant la fin de la reglementation. Contactez le bureau du procureur general sur coag.gov.

Pratique commerciale deloyale ou trompeuse

Jusqu'a 20 000 $

Par infraction en vertu du Colorado Consumer Protection Act

Delai de remediation

60 jours

Avis d'infraction avec possibilite de remediation lorsqu'une remediation est possible ; expire le 1er janvier 2030

Infractions deliberees ou repetees

Aucune remediation requise

Le procureur general peut ignorer le delai de remediation pour les contrevenants deliberes ou recidivistes

Droit d'action prive

Aucun

Le procureur general dispose de l'autorite exclusive d'application

Qu'est-il arrive a la defense affirmative ?

La defense affirmative du SB 24-205 pour la conformite au NIST AI RMF ou a l'ISO 42001 a ete abrogee avec le reste de ce cadre. L'alignement sur les cadres reste le moyen pratique d'operationnaliser les obligations de documentation, de supervision humaine et de tenue de registres du SB 26-189, et il se transpose aux autres juridictions ou vous operez.

NIST AI RMF

Alignement volontaire sur le cadre de gestion des risques IA du NIST

Cas d'utilisation : Operationnalise les obligations d'inventaire, de documentation et de supervision humaine que le SB 26-189 attend en pratique

VerifyWise : Implementation complete du NIST AI RMF et generation de preuves

ISO 42001

Certification au systeme de management de l'IA ISO 42001

Cas d'utilisation : Demontre une gouvernance systematique dans toutes les juridictions ou vous operez, pas seulement au Colorado

VerifyWise : Evaluation de readiness ISO 42001 et cartographie des controles

Modeles de politiques

Modeles de politiques Colorado SB 26-189

Accedez a des modeles de politiques prets a l'emploi alignes sur la loi ADMT du Colorado, le NIST AI RMF et l'ISO 42001

Politiques du deploieur

  • • Politique d'inventaire et de perimetre ADMT
  • • Politique d'avis prealable
  • • Procedures d'explication des resultats defavorables
  • • Politique de revision humaine et de reexamen
  • • Procedures d'acces et de correction des donnees
  • • Politique de conservation des registres
  • + 3 autres politiques

Politiques du developpeur

  • • Standards de documentation technique
  • • Divulgation des limites connues
  • • Documentation des utilisations prevues et nuisibles
  • • Divulgation des categories de donnees d'entrainement
  • • Materiaux de support au deploieur
  • • Politique de notification des mises a jour importantes
  • + 2 autres politiques

Politiques partagees

  • • Conformite anti-discrimination
  • • Repartition de la responsabilite et contractualisation
  • • Standards d'accessibilite des avis
  • • Procedures de reponse aux demandes du procureur general
  • • Alignement sur les cadres (NIST/ISO)
  • • Conformite multi-etats
  • + 4 autres politiques
Parcourir tous les modeles de politiques

Questions frequemment posees

Questions courantes sur la conformite au Colorado SB 26-189

Le Senate Bill 26-189 est la loi du Colorado regissant la technologie de prise de decision automatisee (ADMT). Signee par le gouverneur Polis le 14 mai 2026, elle abroge et remplace le Colorado AI Act (SB 24-205) et entre en vigueur le 1er janvier 2027. Elle exige des deploieurs qu'ils informent les consommateurs lorsqu'une ADMT couverte influence des decisions consequentielles, expliquent les resultats defavorables sous 30 jours et offrent une revision humaine significative. Consultez le texte du projet de loi sur leg.colorado.gov/bills/sb26-189.
Il a ete abroge avant meme d'entrer en vigueur. Le SB 24-205 a ete signe en mai 2024 avec une date d'entree en vigueur initiale au 1er fevrier 2026. Une loi de session extraordinaire (SB 25B-004) l'a reportee au 30 juin 2026, puis le SB 26-189 a entierement abroge et remplace ce cadre en mai 2026. La classification des systemes d'IA a haut risque, les programmes obligatoires de gestion des risques, les evaluations d'impact annuelles et le devoir de diligence ont tous disparu de la loi.
Le 1er janvier 2027. Le procureur general doit adopter d'ici cette date des regles precisant le contenu et le format des divulgations de resultats defavorables, et a declare que l'application ne commencerait pas avant la fin de la reglementation. Notez que l'application est aussi soumise a un litige federal en cours (xAI LLC v. Weiser), les organisations devraient donc surveiller le calendrier.
L'ADMT est une technologie qui traite des donnees personnelles et utilise le calcul pour generer des resultats, tels que des predictions, des recommandations, des classements ou des scores, utilises pour prendre, orienter ou assister des decisions concernant un individu. La definition exclut les outils courants comme les antivirus, les pare-feu, les bases de donnees, les calculatrices, les correcteurs orthographiques, les tableurs necessitant une analyse humaine, les outils qui ne font que resumer ou organiser des informations pour une revision humaine, et les outils de chat non utilises dans des decisions consequentielles.
La loi ne couvre que les ADMT qui influencent materiellement une decision consequentielle, c'est-a-dire dont le resultat est un facteur non negligeable affectant l'issue, par exemple en contraignant, classant, notant, recommandant ou classifiant. Les utilisations accessoires, triviales ou administratives sont hors champ. C'est plus etroit que le critere de « facteur substantiel » du SB 24-205 pour les systemes d'IA a haut risque.
Les decisions affectant l'education, l'emploi, le logement, les services financiers et de pret, la sante, l'assurance, ainsi que les services gouvernementaux essentiels et les prestations publiques. Les services juridiques, qui figuraient dans le SB 24-205, ne sont plus sur la liste. Les utilisations liees a la cybersecurite, a la prevention de la fraude, au filtrage du spam, a la verification d'identite, a la lutte contre le blanchiment d'argent et a la fiabilite des systemes sont exclues.
Une decision qui refuse, met fin a, revoque ou reduit materiellement l'acces d'un consommateur a une opportunite ou un service dans un domaine couvert, son eligibilite, sa selection ou sa remuneration, ou qui aboutit a une tarification, des couts ou des conditions materiellement moins favorables. Des conditions moins favorables comptent, pas seulement les refus purs et simples, donc les decisions de tarification et de souscription peuvent declencher l'obligation d'explication sous 30 jours.
Vous etes un deploieur si vous utilisez une ADMT couverte pour influencer materiellement des decisions consequentielles concernant les consommateurs. Vous etes un developpeur si vous creez ou modifiez substantiellement la technologie. Certaines organisations sont les deux. Notez que la notion de « consommateur » est large : elle inclut les employes et candidats residant au Colorado, et meme les non-residents dont l'acces a une opportunite au Colorado est en jeu.
Deux types. D'abord, un avis prealable clair et visible indiquant qu'une ADMT est ou sera utilisee dans une decision consequentielle, qui peut etre satisfait par des avis publics bien visibles aux points d'interaction avec les consommateurs. Ensuite, si la decision aboutit a un resultat defavorable, un avis sous 30 jours expliquant la decision, le role de l'ADMT, comment demander plus d'informations et les droits dont dispose le consommateur. Les deux doivent etre accessibles aux personnes handicapees et aux consommateurs maitrisant peu l'anglais.
Apres un resultat defavorable, les consommateurs peuvent demander une revision humaine et un reexamen, dans la mesure ou cela est commercialement raisonnable. Le reviseur doit avoir l'autorite d'approuver, de modifier ou d'annuler la decision, etre forme pour la revision, considerer les preuves primaires pertinentes, comprendre l'utilisation prevue et les limites du systeme, et ne doit pas simplement s'en remettre au resultat automatise.
Pas en tant qu'obligation legale. Le SB 26-189 a supprime les evaluations d'impact annuelles du SB 24-205, les programmes de gestion des risques alignes sur le NIST, le devoir de diligence et le signalement au procureur general. Ce qui reste obligatoire est plus restreint : avis, explications, revision humaine, documentation des developpeurs et conservation des registres pendant trois ans. Beaucoup d'organisations conservent les evaluations d'impact comme bonne pratique interne, car elles facilitent grandement la production des explications requises.
Non. La defense affirmative pour la conformite au NIST AI RMF ou a l'ISO 42001 faisait partie du SB 24-205 et a ete abrogee avec lui. L'alignement sur les cadres reste le moyen pratique d'operationnaliser les obligations de documentation, de supervision et de tenue de registres du SB 26-189, et il se transpose aux autres juridictions, mais il n'offre plus de bouclier de responsabilite specifique au Colorado.
Oui. Les assureurs soumis a la loi du Colorado sur les algorithmes d'assurance (SB 21-169) sont generalement reputes conformes dans la pratique de l'assurance. Les entites couvertes par HIPAA sont largement exemptees avec des obligations de divulgation limitees, et les dispositifs medicaux reglementes par la FDA sont exclus de la plupart des exigences. Les utilisations liees a la securite, a la prevention de la fraude, a la verification d'identite et a la lutte contre le blanchiment d'argent sont exclues des decisions consequentielles.
Le SB 26-189 repartit la responsabilite selon la faute relative dans les reclamations pour discrimination relevant du droit anti-discrimination existant de l'Etat. Les developpeurs ne sont generalement pas responsables lorsque les deploieurs utilisent un systeme en dehors de son utilisation prevue ou documentee, ce qui rend la documentation precise des developpeurs essentielle. Les clauses contractuelles indemnisant une partie pour ses propres infractions sont nulles.
Les infractions sont des pratiques commerciales deloyales ou trompeuses en vertu du Colorado Consumer Protection Act, appliquees exclusivement par le procureur general avec des penalites civiles pouvant atteindre 20 000 $ par infraction. Avant d'agir, le procureur general doit accorder un delai de remediation de 60 jours lorsqu'une remediation est possible (ce dispositif expire le 1er janvier 2030 et est indisponible pour les infractions deliberees ou repetees). Il n'y a pas de droit d'action prive. Le bureau du procureur general est sur coag.gov.
Oui, si votre ADMT influence materiellement des decisions consequentielles concernant des consommateurs du Colorado, y compris les employes et candidats residant au Colorado, ou concernant l'acces de quiconque a une opportunite au Colorado. Le lieu ou se trouve le developpeur ou le deploieur n'a pas d'importance.
Oui. VerifyWise fournit l'inventaire et le perimetre des ADMT, le suivi des avis prealables, les workflows d'explication des resultats defavorables sous 30 jours, les files de revision humaine avec affectation de reviseurs formes, les modeles de documentation des developpeurs et la conservation des registres pendant trois ans avec des pistes d'audit completes.

Pret pour la conformite au Colorado SB 26-189 ?

Commencez votre parcours de conformite avec notre evaluation et nos outils de mise en oeuvre pour la loi ADMT du Colorado. Preparez-vous avant la date d'entree en vigueur du 1er janvier 2027.

Demarrer l'evaluation de conformitePlanifier une consultation
Colorado SB 26-189 (ADMT law) compliance requirements 2027