ooligo
FR
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
S'abonner
Outils Comparaisons Workflows Stacks Apprendre
Secteurs
RevOps Legal Ops Recruiting & TA Customer Success
Langue
English Español Português (Brasil) 日本語 Français Deutsch
GitHub S'abonner
ENTRY TYPE · definition

Colorado AI Act (SB 24-205, now SB 26-189)

By Marius Bughiu Last updated 2026-05-26 Recruiting & TA

Le Colorado AI Act a démarré sous la forme de SB 24-205, la première loi d’un État américain à imposer des obligations de gestion des risques calquées sur l’EU AI Act aux « systèmes d’intelligence artificielle à haut risque » utilisés pour des décisions conséquentes en matière d’emploi, de crédit, de logement, de santé, d’éducation, d’assurance et de services publics essentiels. Le 14 mai 2026, le gouverneur Jared Polis a signé la SB 26-189, qui a abrogé intégralement la SB 24-205 et l’a remplacée par un cadre plus léger d’information et de droits centré sur la « technologie de prise de décision automatisée couverte » (ADMT). La loi de remplacement entre en vigueur le 1er janvier 2027. Si vous êtes un deployer qui utilise de l’AI pour des décisions de hiring au Colorado, ce qui vous oblige est la SB 26-189, pas le texte original de la SB 24-205 qui circule encore dans les decks de compliance des vendors.

Ce que le Colorado AI Act n’est PLUS

Le Colorado AI Act n’est plus :

  • Une loi sur la discrimination algorithmique. La SB 26-189 a retiré les dispositions de devoir de diligence, le motif d’action pour discrimination algorithmique, les impact assessments obligatoires et l’exigence de programme de gestion des risques d’AI qui définissaient la SB 24-205.
  • Un équivalent de l’EU AI Act. La SB 24-205 était calquée sur le régime fondé sur les risques de l’EU AI Act. La SB 26-189 s’écarte de ce modèle et se rapproche d’un cadre d’information de type Colorado Privacy Act.
  • En vigueur. La SB 24-205 originale devait entrer en vigueur le 1er février 2026, a été repoussée au 30 juin 2026 par la SB 25B-004 en août 2025, puis suspendue par un tribunal fédéral le 27 avril 2026 (une action engagée par un développeur d’AI dans laquelle le Département de la Justice des États-Unis est intervenu), puis abrogée par la SB 26-189 avant même que sa date d’effet n’arrive. La SB 26-189 entre en vigueur le 1er janvier 2027.

Un vendor qui vous remet une attestation de « programme de gestion des risques SB 24-205 » en mai 2026 vend un artefact de compliance pour une loi qui n’existe plus. La question pertinente est : que va exiger la SB 26-189 au 1er janvier 2027 ?

Qui est couvert par la SB 26-189

La loi couvre les developers et deployers d’ADMT couverte qui font des affaires au Colorado, dès lors que l’ADMT traite des données personnelles et influence matériellement une décision conséquente dans l’un des sept domaines suivants :

  • Emploi (hiring, licenciement, promotion, rémunération, planning)
  • Éducation et inscription éducative
  • Logement et immobilier résidentiel
  • Services financiers et de crédit
  • Assurance
  • Santé
  • Services publics essentiels

Pour les équipes de recruiting : tout outil d’AI utilisé pour filtrer, classer, noter ou influencer matériellement une décision de hiring, de licenciement, de promotion, de rémunération ou de planning concernant un candidat ou un employé au Colorado entre dans le champ d’application. Les outils qui captent des données sans noter (transcription, scheduling, routage d’ATS) restent en dehors du champ, selon la même logique que NYC LL 144.

Il n’y a pas de seuil d’effectif ni d’exemption pour les petites entreprises dans la loi telle qu’adoptée.

Ce que la SB 26-189 exige des deployers

Quatre obligations comptent pour les équipes de recruiting :

  1. Avis préalable à l’utilisation. Avant d’utiliser l’ADMT pour influencer matériellement une décision conséquente, le deployer doit donner au consumer concerné (candidat ou employé) un avis clair et visible indiquant qu’une ADMT sera utilisée, ce qu’elle fera et quelles données elle traitera. Une clause enterrée dans une politique de confidentialité ne suffit pas — le standard reflète celui de l’avis LL144.
  2. Avis après décision défavorable dans les 30 jours. Quand l’ADMT contribue à un résultat défavorable (pas d’offre, pas de promotion, licenciement, refus d’une prestation), le deployer doit fournir une description en langage clair de la décision, du rôle de l’ADMT dans celle-ci et des instructions pour demander des informations complémentaires.
  3. Revue humaine significative sur demande. Le consumer peut demander une revue humaine et une reconsidération. Le réviseur doit avoir l’autorité d’écarter la décision, doit examiner les éléments pertinents et doit être formé. Un recruteur qui valide sans réflexion le classement généré par l’AI ne respecte pas ce standard.
  4. Conservation des dossiers pendant trois ans. Le deployer conserve les dossiers de compliance — identifiants de version d’ADMT, changelogs, documentation des changements matériels à la mitigation des risques — pendant trois ans.

Les obligations du developer (fournir au deployer une déclaration générale des usages prévus et des usages nocifs connus, des catégories de données, des limites connues et des instructions d’utilisation) se situent en amont. La plupart des équipes ops sont du côté deployer, mais la checklist de diligence du deployer a maintenant besoin de la divulgation du developer comme input.

Application et le vide réglementaire

Le procureur général du Colorado a l’autorité exclusive d’application. Il n’y a pas de droit d’action privé. Le procureur général a publiquement déclaré qu’il n’appliquera pas la SB 26-189 tant que le rulemaking ne sera pas terminé, et le rulemaking n’a pas encore commencé en mai 2026. La loi prévoit une période de régularisation avant les actions d’application pour les violations non intentionnelles — 60 jours dans la version adoptée.

Lecture pratique : d’ici au 1er janvier 2027, l’exposition juridique active pour l’AI en hiring au Colorado n’est pas le Colorado AI Act lui-même. C’est :

  • L’analyse fédérale d’impact disparate sous le Title VII (reste pleinement en vigueur quel que soit le bruit autour des lois d’AI d’État).
  • Le Fair Credit Reporting Act lorsque les scores d’AI proviennent d’agences de consumer reporting.
  • NYC LL 144 si vous filtrez des candidats résidents de NYC.
  • Illinois AIVIA si vous utilisez des entretiens vidéo analysés par AI sur des candidats de l’Illinois.
  • L’EU AI Act pour les AI d’emploi à haut risque utilisées sur des candidats de l’UE (obligations à haut risque reportées au 2 décembre 2027 selon l’accord politique du Digital Omnibus de l’UE conclu le 7 mai 2026, en attente d’adoption formelle).

Le Colorado AI Act devient un artefact contraignant de compliance le 1er janvier 2027 — plus tôt si un deployer veut utiliser sa préparation à la SB 26-189 comme signal de procurement.

Points de vigilance pour les équipes de recruiting

  • Lire le mauvais texte. Les pages de compliance de vendors datées d’avant le 14 mai 2026 référencent encore la classification à haut risque de la SB 24-205, le template d’impact assessment et le motif d’action pour discrimination algorithmique. Aucun de ces éléments ne lie un deployer aujourd’hui. Confirmez que la posture de compliance du vendor est calée sur la SB 26-189, pas sur sa devancière. Garde : exigez du vendor qu’il identifie la version du texte sur laquelle sa documentation s’aligne, avec citation.
  • Traiter la non-application par le procureur comme une absence d’exposition. L’intention déclarée du procureur de ne pas appliquer tant que le rulemaking n’est pas terminé est une politique, pas une loi. La loi fédérale antidiscrimination existante n’est pas affectée. Garde : faites tourner votre posture de bias-audit et d’avis contre LL144 + Title VII comme plancher ; la préparation à la SB 26-189 vient en plus.
  • Confondre « ADMT couverte » avec « tout outil d’AI ». Les outils qui n’influencent pas matériellement une décision conséquente ne sont pas une ADMT couverte sous SB 26-189 — mais le test de matérialité dépend des faits. Un outil de « decision-support » dont le classement est suivi dans 95% des cas influence matériellement la décision, quelle que soit l’étiquette du vendor. Garde : documentez le processus de revue humaine et le taux d’override ; si les réviseurs écartent l’AI dans moins de 10% des cas, traitez l’outil comme couvert.
  • Supposer que l’avis préalable = le boilerplate du job posting. L’exigence d’avis de la SB 26-189 est structurellement proche de celle de LL144 mais le contenu diffère (catégories de données et description de l’ADMT, pas résumé du bias-audit). Une équipe qui publie déjà un avis LL144 doit encore atteindre le niveau de contenu de la SB 26-189. Garde : maintenez deux templates d’avis par juridiction, ou un template unifié qui satisfait les deux.

Ce que les deployers doivent faire maintenant

  1. Inventoriez chaque outil d’AI qui influence matériellement une décision conséquente d’emploi concernant un candidat ou un employé au Colorado — y compris les outils déployés à l’étape de sourcing, screening, entretien, scoring, scheduling ou recommandation de rémunération.
  2. Récupérez du vendor le mapping sur SB 26-189 (pas SB 24-205). Si le vendor n’en a pas encore, consignez l’écart et placez-le sur la checklist de revue de renouvellement.
  3. Rédigez le template d’avis préalable à l’utilisation et d’avis post-décision défavorable contre le texte du statut. Réutilisez l’infrastructure d’avis LL144 là où vous l’avez ; ajoutez le contenu spécifique manquant de la SB 26-189.
  4. Définissez le processus de revue humaine et désignez le pool de réviseurs, avec autorité d’override et formation documentées. C’est l’exigence la plus susceptible de surprendre les équipes qui se sont trop appuyées sur le scoring de l’AI.
  5. Démarrez l’horloge de conservation des dossiers de trois ans au 1er janvier 2027. Intégrez la collecte de dossiers dans le workflow de l’ATS plutôt que comme un exercice séparé de préparation d’audit.

Consultez un avocat pour une analyse spécifique à votre juridiction. Les règles bougeront à nouveau pendant le processus de rulemaking avant la date d’effet du 1er janvier 2027.

Liés

Modifier cette page sur GitHub