La loi sur l’IA du Colorado : Un guide pour les entreprises canadiennes

Introduction

De nouveaux règlements sur l’intelligence artificielle (« IA ») font peu à peu leur apparition aux États-Unis. Le 17 mai 2024, le Colorado est devenu le dernier État à rejoindre ce mouvement après la signature par le gouverneur Jared S. Polis du projet de loi du Sénat 24-205, la Colorado AI Act (ci-après la « loi sur l’IA du Colorado » ou la « Loi »).

La loi sur l’IA du Colorado est la dernière en date d’une série de règlements sur l’IA proposés par des administrations américaines, et de règlements notables adoptés par la ville de New York et l’État de l’Utah visant à réglementer le développement et l’utilisation de systèmes d’intelligence artificielle (« systèmes d’IA »).

Comme nous le verrons dans ce blogue, la loi sur l’IA du Colorado est pertinente pour les entreprises canadiennes, même pour celles qui n’exercent pas d’activités dans l’État du Colorado, car elle met en évidence plusieurs tendances clés dans la réglementation de l’IA et peut fournir des conseils aux entreprises qui souhaitent mettre en œuvre des pratiques d’IA responsables pendant que la Loi sur l’intelligence artificielle et les données (la « LIAD ») continue de cheminer au Parlement fédéral.

Nous examinons ici les dispositions les plus importantes de la loi sur l’IA du Colorado et fournissons une analyse comparative de haut niveau avec la loi canadienne et la loi de l’Union européenne (« UE »).

Objet et portée de la loi sur l’IA du Colorado

Portée de la loi sur l’IA du Colorado

Systèmes d’IA présentant un risque élevé

Le préambule de la loi sur l’IA du Colorado énonce clairement son intention de promouvoir « la protection des consommateurs dans les interactions avec les systèmes d’intelligence artificielle ».

Tout comme la Loi sur l’intelligence artificielle de l’Union européenne (la « Loi sur l’IA de l’UE ») et la LIAD, elle ne réglemente pas tous les systèmes d’IA, mais seulement ceux qui sont considérés comme présentant « un risque élevé ». Dans la loi sur l’IA du Colorado, il s’agit de systèmes qui, lorsqu’ils sont déployés, peuvent prendre ou être un « facteur important dans la prise d’une décision ayant des conséquences importantes ».

Une décision ayant des conséquences importantes est une décision « qui a un effet juridique important ou un effet comparable sur la fourniture ou le refus de fournir certains types de services à un consommateur, ou sur les coûts ou conditions de ceux-ci » : l’inscription ou l’accès à l’éducation; l’emploi ou la possibilité d’emploi; les services financiers ou de prêt; les services publics essentiels; les services de santé; le logement, l’assurance; les services juridiques.

La loi sur l’IA du Colorado, bien qu’elle constitue ostensiblement une loi visant à protéger les consommateurs, possède donc une définition large de ce qui constitue un consommateur et s’appliquerait notamment à certains systèmes de prise de décision en matière de ressources humaines améliorés par l’IA et à des systèmes utilisés pour fournir des services publics (essentiels) (une différence notable avec la LIAD, qui ne s’applique pas expressément au secteur public).

Ainsi, la loi sur l’IA du Colorado recoupe en partie la loi sur la protection des renseignements personnels du Colorado et ses dispositions relatives aux systèmes de prise de décision automatisée. Cependant, la loi sur l’IA du Colorado a une portée plus large, car la loi sur la protection des renseignements personnels du Colorado ne réglemente que le « profilage », qui se définit comme le traitement automatisé des données personnelles pour évaluer, analyser ou prédire les préférences ou le comportement d’une personne.

La nouvelle loi sur l’IA se concentre plutôt sur l’effet d’une décision sur les consommateurs, qu’elle ait nécessité ou non le traitement de données personnelles. Plusieurs exclusions limitent toutefois cette portée plutôt large. La Loi ne s’applique pas aux systèmes d’IA destinés à exécuter des tâches de procédure limitées ou à repérer les schémas décisionnels.

À moins que ces systèmes n’entraînent la prise d’une décision pouvant avoir des conséquences importantes (ou constituent un facteur important dans celle-ci), la Loi ne les considère pas non plus comme des technologies à risque élevé, telles que les systèmes antifraude (seulement s’ils n’utilisent pas la technologie de reconnaissance faciale), les antivirus, les jeux vidéo utilisant l’IA, les bases de données, les correcteurs orthographiques, la cybersécurité et le stockage de données.

Il est intéressant de noter que, contrairement à la loi européenne et la loi canadienne, la loi sur l’IA du Colorado ne comporte pas de catégorie sui generis pour les systèmes d’IA à usage général, comme les robots conversationnels améliorés par l’IA popularisés par la sortie de ChatGPT.

Au contraire, la loi sur l’IA du Colorado présume que les systèmes utilisant le langage naturel pour communiquer avec les consommateurs ne présentent pas de risque élevé si : 1) l’objectif est de fournir des renseignements, d’orienter les consommateurs ou de leur fournir des recommandations; et 2) le système doit respecter une politique d’utilisation interdisant la production de contenu discriminatoire ou préjudiciable. Toutefois, ces systèmes d’IA peuvent toujours être considérés comme présentant un risque élevé dans certaines circonstances, par exemple s’ils sont utilisés dans la prise d’une décision pouvant avoir des conséquences importantes (ou constituer un facteur important dans celle-ci).

Les facteurs importants sont notamment le contenu, les décisions, les prédictions ou les recommandations générés par l’IA « sur lesquels est fondée une décision pouvant avoir des conséquences importantes » à propos d’un consommateur.

Par exemple, il peut s’agir de l’utilisation du robot conversationnel utilisant l’IA pour aider à la prise d’une décision d’embauche, alors qu’on demande au robot conversationnel d’examiner un certain nombre de curriculum vitae et de formuler des recommandations qui sont ensuite suivies sans être remises en question.

Ainsi, bien que la loi sur l’IA du Colorado concerne ostensiblement les systèmes de prise de décision automatisée, elle pourrait s’appliquer à certains outils d’IA générative de manière inattendue.

Rôles réglementés dans les chaînes de valeur de l’IA

La plupart des cadres réglementaires actuels en matière d’IA appliquent des obligations de conformité variables en fonction du rôle que joue une entreprise réglementée dans la chaîne de valeur de l’IA.

Par exemple, la Loi sur l’IA de l’UE prévoit des obligations précises pour les « fournisseurs », les « responsables du déploiement », les « importateurs », les « distributeurs » et les « exploitants » de systèmes d’IA.

Pour sa part, la LIAD utilise une terminologie plus complexe, mais connexe, à savoir « personne rendant disponible pour la première fois », « personne rendant disponible » ou la « gestion de l’exploitation » des systèmes d’IA. La loi sur l’IA du Colorado adopte une approche binaire qui divise la chaîne de valeur de l’IA entre les « responsables du déploiement » (personnes utilisant des systèmes d’IA à risque élevé) et les « développeurs » (personnes faisant des affaires au Colorado et qui développent ou modifient considérablement des systèmes d’IA).

Comme nous le verrons à la section 2 ci-dessous, la loi sur l’IA du Colorado impose des obligations différentes aux développeurs et aux responsables du déploiement de systèmes d’IA.

Exigences

Les développeurs et les responsables du déploiement de systèmes d’IA à risque élevé doivent prendre des précautions raisonnables pour protéger les consommateurs contre les risques connus ou prévisibles de discrimination algorithmique découlant de l’utilisation prévue du système.

La discrimination algorithmique englobe les situations dans lesquelles l’utilisation d’un système d’IA entraîne des différences de traitement illégales ou des conséquences négatives fondées sur des caractéristiques protégées, comme l’âge, la couleur, un handicap, l’appartenance ethnique, la race et la religion. Cette notion est semblable à la notion de « résultat biaisé » que l’on trouve dans la version préliminaire de la LIAD.

Toutefois, les développeurs et les responsables du déploiement bénéficient d’une présomption réfutable de prise de précautions raisonnables en cas de poursuite intentée contre eux, s’ils peuvent démontrer qu’ils ont respecté les obligations énoncées dans la Loi.

Ils peuvent également invoquer plusieurs défenses affirmatives actives contre les plaintes déposées par le procureur général (voir la section 4 ci-dessous), comme la découverte et la correction d’une violation à la suite d’un essai du système du point de vue de l’adversaire, ou la méthode de l’équipe rouge, tout en maintenant la conformité avec les normes d’IA pertinentes.

Les exigences de conformité varient pour chaque rôle et commenceront à s’appliquer le 1er février 2026 :

Les développeurs doivent : fournir aux responsables du déploiement une déclaration générale décrivant les utilisations raisonnablement prévisibles et les utilisations préjudiciables ou inappropriées connues du système d’IA à risque élevé; fournir une documentation divulguant le type de données de formation, les limites connues et prévisibles du système d’IA à risque élevé, son objectif, ses avantages prévus et tout autre renseignement connexe, afin de permettre au responsable du déploiement de s’acquitter de ses obligations; fournir une documentation décrivant la manière dont le système d’IA à risque élevé a été évalué, les mesures de gouvernance des données mises en œuvre, les résultats prévus, les mesures d’atténuation de la discrimination algorithmique mises en place et la manière dont le système devrait être utilisé, pas utilisé et surveillé lorsqu’il est déployé; fournir aux responsables du déploiement les renseignements et les documents requis pour réaliser une étude d’impact (y compris sous la forme de cartes modèles ou de cartes d’ensemble de données); publier une déclaration publique détaillant les systèmes à risque élevé développés et la manière dont ils gèrent les risques connus ou prévisibles de discrimination algorithmique; divulguer tout risque connu ou raisonnablement prévisible de discrimination algorithmique au procureur général et aux responsables du déploiement dans un délai de 90 jours suivant la découverte du risque.

Les responsables du déploiement doivent : mettre en œuvre une politique et un programme raisonnables de gestion des risques. Il est important de noter que la loi sur l’IA du Colorado fait référence ici aux orientations contenues dans les normes du National Institute of Standards and Technology (NIST) et les normes ISO en matière d’IA. Pour plus de renseignements, reportez-vous à notre blogue précédent (en anglais seulement); réaliser une étude d’impact du système d’IA à risque élevé annuellement ou dans les 90 jours suivant une modification intentionnelle ou importante. Cette étude d’impact doit énoncer les objectifs, les utilisations prévues et le contexte de déploiement du système. Elle doit également inclure une analyse du système indiquant s’il présente des risques connus ou raisonnablement prévisibles de discrimination algorithmique et proposer des mesures d’atténuation. Enfin, elle doit préciser les catégories de données saisies et produites, les données utilisées lors de la personnalisation du système, les paramètres utilisés pour évaluer le rendement, les mesures de transparence et les mécanismes de surveillance post-déploiement. Les documents relatifs aux études d’impact de l’IA doivent être conservés pendant trois ans après le déploiement; informer les consommateurs du déploiement du système d’IA à risque élevé avant qu’une décision ne soit prise. Le responsable du déploiement doit également divulguer au consommateur l’objectif du système d’IA et lui fournir une description du système en langage clair; publier une déclaration publique décrivant sommairement le système d’IA à risque élevé déployé et tous les risques connus ou prévisibles de discrimination algorithmique; divulguer tout cas de discrimination algorithmique au procureur général dans les 90 jours suivant la découverte.

En outre, les responsables du déploiement de systèmes d’IA à risque élevé ont pour obligation d’informer les clients de leur droit de refuser le traitement de leurs données personnelles à des fins de profilage, comme le prévoit la Colorado Privacy Act (la loi sur la protection des renseignements personnels du Colorado). Par conséquent, la loi sur l’IA du Colorado ne prévoit aucun droit distinct de refuser une décision pouvant avoir des conséquences importantes prises par les systèmes d’IA qui ne traitent pas les données personnelles.

Toutefois, si un système d’IA à risque élevé a été utilisé dans la prise d’une décision qui est défavorable à un consommateur, le responsable du déploiement doit fournir une déclaration divulguant les principales raisons de cette décision et offrir au consommateur la possibilité de rectifier toute donnée personnelle inexacte utilisée dans le processus décisionnel et de faire appel de la décision, y compris de demander à ce qu’un examen de la décision soit réalisé par une personne (seulement si un tel examen est réalisable).

Cela rappelle l’article 12.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi sur le secteur privé du Québec ») qui prévoit que les entreprises qui rendent des décisions fondées exclusivement sur le traitement automatisé de renseignements personnels doivent informer la personne. Concernée des renseignements personnels utilisés pour rendre la décision, ainsi que des raisons, des principaux facteurs et des paramètres ayant mené à la décision.

Les résidents du Québec ont également le droit de faire rectifier les renseignements personnels utilisés pour rendre la décision. L’article 12.1 de la Loi sur le secteur privé du Québec ne prévoit toutefois pas de seuil de risque minimal et a ainsi une portée plus large que la loi sur l’IA du Colorado.

Ce problème est atténué par le fait que, tout comme la loi sur la protection des renseignements personnels du Colorado, la Loi sur le secteur privé du Québec ne vise que les systèmes qui traitent des renseignements personnels. En outre, elle ne s’applique qu’aux décisions rendues « exclusivement » par un processus décisionnel automatisé. À cet égard, la portée de la loi sur l’IA du Colorado est plus large : les systèmes d’IA à risque élevé comprennent ceux qui jouent un rôle important dans les décisions rendues, mais ce n’est pas nécessairement le seul facteur.

Enfin, la loi sur l’IA du Colorado, à l’instar de la Loi sur l’IA de l’UE et des modifications proposées à la LIAD, comprend une obligation qui s’applique au déploiement de tout système d’IA (quel que soit le risque), s’il est destiné à interagir directement avec les consommateurs. Dans ces cas, le consommateur doit être informé qu’il interagit avec un système d’IA, sauf s’il est évident pour lui qu’il interagit avec un système d’IA.

Les développeurs et les responsables du déploiement doivent donc mettre en œuvre des programmes de conformité complexes et potentiellement coûteux pour satisfaire aux obligations de la Loi. L’organe législatif du Colorado a tenu compte du fait que certaines entreprises déployant des systèmes d’IA, en particulier les petites et les jeunes entreprises, peuvent disposer de ressources limitées pour se conformer à la réglementation en matière d’IA et a donc exempté les entreprises qui emploient moins de cinquante employés équivalents temps plein de se conformer aux obligations liées à : 1) la mise en œuvre d’une politique et d’un programme raisonnables de gestion des risques; 2) la réalisation d’une étude d’impact annuelle du système d’IA à risque élevé ou dans les 90 jours suivant une modification intentionnelle ou importante; et 3) la divulgation de tout cas de discrimination algorithmique au procureur général dans les 90 jours suivant sa découverte, le tout tel que décrit ci-dessus, dans la mesure où elles n’utilisent pas leurs propres données pour alimenter un système d’IA à risque élevé et que les systèmes sont utilisés aux fins prévues.

Application

La loi sur l’IA du Colorado relève de l’autorité exclusive du procureur général du Colorado, qui est expressément habilité à établir des règles pour faire appliquer les dispositions de cette loi. Alors que la Loi sur l’IA de l’UE et la LIAD prévoient des sanctions importantes de plusieurs millions de dollars ou d’euros, la loi sur l’IA du Colorado emprunte une voie différente. Une violation de la loi sur l’IA du Colorado est considérée comme une pratique commerciale déloyale, et donne lieu à des sanctions sous forme d’amendes pouvant atteindre 20 000 $ US par violation.

En outre, la loi sur l’IA du Colorado ne prévoit aucun droit privé d’action pour les consommateurs en cas de non-respect de la loi, et confère plutôt ce pouvoir uniquement au procureur général.

Cette disposition concorde avec la LIAD et la Loi sur l’IA de l’UE, qui ne prévoient pas non plus de droit privé d’action explicite. Cependant, cela diffère notablement de la tendance dominante dans les lois sur la protection des renseignements personnels, dont la Loi sur le secteur privé du Québec et la nouvelle Loi sur la protection de la vie privée des consommateurs (« LPVPC »), qui prévoient toutes deux un droit privé d’action.

Conclusion

Les entreprises canadiennes qui souhaitent exporter et utiliser des systèmes d’IA au Colorado doivent accorder une attention particulière à cette loi sur l’IA. Même les entreprises qui n’exercent pas de telles activités tireraient profit d’une compréhension générale de cette loi, laquelle pourrait également servir de source d’inspiration pour d’autres États (dont certains étudient déjà des projets de loi sur l’IA).

Pour les entreprises qui envisagent la mise en œuvre d’un programme de gouvernance responsable de l’IA, la loi sur l’IA du Colorado offre également des indications précieuses sur les meilleures pratiques émergentes qui, peu à peu, se frayent un chemin dans la loi.

À propos des auteurs

Charles S. Morgan est coleader national du groupe Cyber/Données de McCarthy Tétrault et ancien leader du groupe Droit des technologies de l’information.

Francis Langlois est avocat chez McCarthy au sein du groupe cyber/données.

Pierre Dushime est étudiant en droit chez McCarthy. Il étudie à l’Université McGill.

Samantha Morel est étudiante en droit chez McCarthy.