Colorado SB21-169

Colorado SB21-169 : conformite IA et ECDIS pour les assureurs

Si votre tarification ou votre souscription d'assurance passe par un algorithme, un modele predictif ou des donnees externes sur les consommateurs, le Colorado veut voir vos tests. Les assureurs-vie sont deja soumis au Regulation 10-1-1. L'automobile et la sante suivent.

Reserver une consultation de conformite

Qu'est-ce que le Colorado SB21-169 ?

Le Colorado a adopte SB21-169 en juillet 2021 sous le nom "Protecting Consumers from Unfair Discrimination in Insurance Practices". La loi indique aux assureurs qu'ils ne peuvent pas utiliser des algorithmes, des modeles predictifs ou des donnees externes sur les consommateurs (ECDIS) si le resultat est une discrimination injuste envers une classe protegee. Tout le reste, echeances, methodes de test, attestations, se trouve dans les reglementations redigees par la Division of Insurance.

Une seule loi, un deploiement secteur par secteur. Le Regulation 10-1-1 regit l'assurance-vie depuis novembre 2023, et c'est la que vivent les obligations centrales de cadre de gestion des risques et d'inventaire des modeles. L'assurance automobile des particuliers et les plans d'assurance sante sont les prochains secteurs a recevoir des regles specifiques, et cette reglementation est en cours en ce moment.

Cadre de risque

Gouvernance et gestion des risques ecrites exigees

Tests de biais

Tests d'impact disparate en continu, pas un audit unique

Souvent confondu avec le plus large Colorado AI Act (SB24-205) — voir la comparaison ci-dessous.

Qui est concerne

Assureurs-vie (deja en vigueur)

Tout assureur-vie autorise a exercer au Colorado et utilisant des ECDIS, des algorithmes ou des modeles predictifs dans la souscription, la tarification ou les sinistres.

Assureurs automobile des particuliers (en cours de reglementation)

Les assureurs automobile soumis aux regles en instance concernant l'utilisation des donnees externes, de la telematique et des algorithmes de tarification.

Plans d'assurance sante (en cours de reglementation)

Assureurs sante et plans d'assurance sante couverts par les reglementations a venir visant les algorithmes utilises dans la couverture, la tarification et les sinistres.

MGAs et TPAs

Les managing general agents et administrateurs tiers qui exploitent des algorithmes ou des ECDIS pour le compte des assureurs relevent de la responsabilite de conformite de l'assureur.

Reassureurs utilisant des ECDIS

Les reassureurs dont les modeles ou les donnees alimentent les decisions des assureurs admis au Colorado sont generalement traites via le programme de gouvernance de la cedante.

Fournisseurs InsurTech

Les fournisseurs qui livrent des algorithmes, des modeles ou des ECDIS aux assureurs du Colorado doivent s'attendre a une diligence en aval et a des obligations contractuelles liees a SB21-169.

SB21-169 vs SB24-205 : quelle est la difference ?

Deux lois du Colorado, deux regulateurs, deux programmes de conformite. Si vous etes assureur et que vous utilisez l'IA au Colorado, vous devez repondre aux deux.

Attribut

SB21-169

SB24-205 (Colorado AI Act)

Nom complet

Senate Bill 21-169 (Protecting Consumers from Unfair Discrimination in Insurance Practices)

Senate Bill 24-205 (Colorado Artificial Intelligence Act)

Annee d'adoption

2021

2024

Perimetre sectoriel

Assurance uniquement (vie, automobile, sante, etc.)

Multi-secteurs (emploi, logement, sante, finance, education, juridique)

Autorite de regulation

Colorado Division of Insurance (DOI)

Procureur general du Colorado

Champ couvert

Algorithmes, modeles predictifs et ECDIS utilises dans les pratiques d'assurance

Systemes d'IA a haut risque prenant des decisions consequentes

Obligation centrale

Tester les donnees et les modeles contre la discrimination injuste ; documenter la gouvernance et les mesures correctives

Gestion des risques, analyses d'impact, notification des consommateurs, periode de regularisation

Date d'entree en vigueur (actuelle)

Assurance-vie : 14 novembre 2023. Automobile/sante : reglementation en cours 2025-2026

1er fevrier 2026

Qu'est-ce qui compte comme ECDIS ?

Si la donnee ne vient pas directement du consommateur, c'est probablement de l'ECDIS. C'est la que se concentre l'essentiel du travail de conformite.

Donnees financieres

Scores d'assurance bases sur le credit
Modeles de transactions bancaires
Historique des paiements
Donnees de lignes de credit

Donnees de mode de vie et comportementales

Activite sur les reseaux sociaux
Historique d'achats des consommateurs
Donnees de programmes de fidelite
Habitudes de navigation web

Donnees geographiques

Donnees demographiques par secteur de recensement
Caracteristiques du quartier
Donnees immobilieres et de localisation
Schemas de mobilite

Donnees de sante et de bien-etre

Donnees d'objets connectes
Historique des prescriptions
Abonnement a des programmes de gym et de fitness
Participation a des programmes de bien-etre

Calendrier de conformite

L'assurance-vie dispose deja d'un cadre complet. L'automobile et la sante sont en cours de redaction.

14 novembre 2023En vigueur

Echeance du cadre pour l'assurance-vie

Les assureurs-vie devaient disposer d'un cadre de gestion des risques conformement au Regulation 10-1-1 regissant l'utilisation des ECDIS, des algorithmes et des modeles predictifs.

1er juin 2024En vigueur

Rapport d'avancement pour l'assurance-vie

Premier rapport d'avancement a soumettre a la Division of Insurance, documentant la mise en oeuvre du cadre, les resultats des tests et les actions correctives.

1er decembre 2024En vigueur

Attestation de conformite complete

Attestation annuelle des assureurs-vie certifiant la conformite complete avec SB21-169 et ses reglementations d'application. Renouvelee chaque annee par la suite.

2025-2026Reglementation

Reglementation pour l'assurance automobile et sante

La DOI du Colorado etend les reglementations SB21-169 a l'assurance automobile des particuliers et aux plans d'assurance sante. Audience virtuelle de reglementation tenue le 2 juin 2025.

En continuEn continu

Attestation et tests annuels

Tous les assureurs couverts doivent effectuer des tests de biais en continu, maintenir la documentation de gouvernance et soumettre des attestations annuelles a la DOI.

Les quatre piliers de la conformite

Le Regulation 10-1-1 repose sur quatre fondations. Chaque attestation annuelle doit apporter des preuves pour les quatre.

Gouvernance

Politiques approuvees par le conseil d'administration ou la direction generale, roles documentes et supervision pour chaque algorithme, modele predictif et ECDIS utilises dans les pratiques d'assurance.

Cadre de gouvernance ecrit
Supervision documentee par la direction generale
Cartographie des roles et responsabilites
Programme de diligence fournisseurs

Gestion des risques

Un cadre ecrit de gestion des risques couvrant l'ensemble du cycle de vie des donnees et des modeles, de l'acquisition et de la validation jusqu'au deploiement et au suivi continu.

Inventaire des ECDIS, algorithmes et modeles
Evaluations des risques sur l'ensemble du cycle de vie
Procedures de controle des changements et de retrait des modeles
Controles des risques fournisseurs et tiers

Tests de discrimination injuste

Tests quantitatifs continus des donnees et des modeles afin de detecter toute discrimination injuste a l'egard des classes protegees, notamment la race, la couleur, l'origine nationale ou ethnique, la religion, le sexe, l'orientation sexuelle, le handicap, l'identite de genre et l'expression de genre.

Analyse des variables proxy
Tests d'impact disparate sur les classes protegees
Methodologie de test documentee
Jeux de donnees de test reproductibles

Reporting et mesures correctives

Constatations documentees, actions correctives en cas de detection de discrimination injuste et attestation annuelle aupres de la Division of Insurance.

Documentation ecrite des constatations
Plans de remediation avec responsables et echeances
Depots d'attestations annuelles
Reporting ponctuel sur les enjeux materiels

Découvrez à quoi ressemble votre rapport d'audit de biais

Téléchargez un exemple de rapport de tests de biais Colorado SB21-169 généré par VerifyWise.

Télécharger l'exemple (PDF)

Comment VerifyWise soutient la conformite SB21-169

Chaque pilier correspond a un module VerifyWise. La gouvernance vit dans les politiques, les modeles vivent dans l'inventaire, les tests tournent dans le moteur d'audit, et l'attestation rassemble les preuves.

Exigence SB21-169

Couverture VerifyWise

Documentation du cadre de gouvernance

Le module Politique capture les versions du cadre, les approbations et l'historique des revisions

Inventaire des modeles et des ECDIS

Inventaire centralise des systemes d'IA avec metadonnees fournisseur, source de donnees et cycle de vie

Cycle de vie de la gestion des risques

Flux d'evaluation des risques couvrant l'acquisition, la validation, le deploiement et le retrait

Tests de biais et d'impact disparate

Moteur d'audit de biais configurable prenant en charge les classes protegees du Colorado et les groupements personnalises

Analyse des variables proxy

Flux de detection de proxy au niveau des variables avec pistes d'audit et validation du relecteur

Suivi des mesures correctives

Module d'incidents et d'actions correctives avec responsables, echeances et preuves

Diligence fournisseurs et tiers

Flux de gestion fournisseurs pour les fournisseurs d'ECDIS et de modeles avec modeles de questionnaires

Support pour l'attestation annuelle

Dossiers d'attestation avec controles lies, preuves et validations horodatees

Preuves et piste d'audit

Journaux d'activite immuables sur les modeles, jeux de donnees, tests et approbations

Export pret pour le regulateur

Export de rapports pour les depots a la Division of Insurance et les dossiers d'audit internes

Erreurs courantes a eviter

Ce sont les schemas que nous voyons revenir dans les programmes d'assurance-vie. Attendez-vous a les retrouver quand l'automobile et la sante passeront en vigueur.

Traiter SB21-169 comme SB24-205

Ce sont deux lois distinctes. Regulateurs differents, echeances differentes, perimetres differents. SB21-169 concerne l'assurance et c'est la Division of Insurance qui l'applique. Le Colorado AI Act (SB24-205) est plus large et releve du Procureur general. Si vous etes assureur au Colorado, vous devez vous mettre en conformite avec les deux.

Supposer que seules les donnees publiques declenchent les regles ECDIS

Les ECDIS vont plus loin que ce a quoi la plupart des equipes s'attendent. Les scores fournis par des fournisseurs, les courtiers de donnees et les donnees de consortium sont tous inclus. Les scores d'assurance bases sur le credit sont clairement dans le perimetre, meme s'ils font partie de la tarification depuis des annees.

S'appuyer sur les garanties d'equite des fournisseurs

La conformite d'un fournisseur n'est pas votre conformite. L'assureur licencie au Colorado porte l'obligation. Vous avez toujours besoin de vos propres tests, de votre propre documentation et de votre propre gouvernance, meme si chaque modele de votre pile vient d'un tiers.

Limiter les tests a la race

Le Regulation 10-1-1 couvre un ensemble de classes protegees plus large que celui des programmes de tests de biais historiques. S'arreter a la race laisse des lacunes sur le sexe, l'identite de genre, l'expression de genre, l'orientation sexuelle, le handicap et l'origine nationale.

Faire les tests une fois et passer a autre chose

Ce n'est pas une case a cocher chaque annee. Les modeles changent, les donnees derivent et de nouvelles versions sortent. Chacun de ces evenements declenche un nouveau test contre la meme methodologie documentee.

Questions frequentes

Les questions que nous posent les equipes juridiques, de conformite et de data science en assurance qui travaillent sur SB21-169.