La loi du Colorado sur les biais de l’IA transforme la conformité en risque pour les secrets commerciaux

Tout programme de gouvernance de l’IA finit par créer un dossier intitulé preuves. C’est dans ce dossier que les notes de tests de biais, les questionnaires fournisseurs, les champs de données et les décisions d’escalade deviennent défendables. C’est aussi là que le comportement propriétaire d’un modèle, les choix de données et les méthodes des fournisseurs peuvent fuiter si personne n’a pris soin de séparer la preuve de la recette du produit. La loi du Colorado sur les biais de l’IA rend cette tension concrète. La question de conformité n’est pas de savoir si les concepteurs doivent être transparents ; c’est la réponse facile des tables rondes. La question plus difficile est de savoir qui reçoit quelles preuves, à quel niveau de détail, et sous quels contrôles contractuels.

L’échéance est déjà sous gestion de version TrustArc décrit la SB24-205 comme

entrant en vigueur le 30 juin 2026, tandis que l’analyse de Skadden de 2024 indiquait que le Colorado Artificial Intelligence Act entrerait en vigueur le 1er février 2026. Ce n’est pas une coquille à ignorer ; c’est un rappel que les calendriers de conformité en IA sont des documents vivants. Fisher Phillips a rapporté qu’un groupe de travail de l’État a publié une proposition de réécriture le 17 mars 2026 qui supprimerait les audits de biais obligatoires, les remplacerait par un cadre de transparence et de notification, et repousserait la date d’entrée en vigueur au 1er janvier 2027. Law and the Workplace a ensuite rapporté qu’un juge magistrat fédéral avait suspendu l’application de la loi le 27 avril 2026 et que la loi ne prendrait pas effet le 30 juin.

Règle des petits caractères : ne construisez pas votre programme sur la date d’un billet de blog lorsque la loi, un projet de loi de remplacement et une décision de justice évoluent tous en même temps. Désignez un responsable du suivi du statut au Colorado, et gardez les artefacts de mise en œuvre suffisamment modulaires pour survivre à un passage des audits aux notifications. Les équipes qui souffriront sont celles qui traitent un audit de biais, un avis au consommateur et une annexe fournisseur comme le même document avec des en-têtes différents.

Ce que la loi cherche à détecter L’alerte de Stinson

de juin 2024 décrit le Colorado comme le premier État à adopter une loi complète sur l’IA afin de protéger les consommateurs contre la discrimination, après l’échec d’un projet de loi presque identique dans le Connecticut. Selon Stinson, la loi cible la discrimination algorithmique au moyen d’une approche fondée sur les risques visant les systèmes d’IA à haut risque, c’est-à-dire les systèmes qui prennent, ou constituent un facteur substantiel dans la prise, d’une décision importante. Skadden a également décrit la loi comme centrée sur les systèmes d’IA à haut risque et a averti que les lois des États sur l’IA pourraient créer une mosaïque réglementaire en l’absence de réglementation fédérale. Pour les concepteurs, la première obligation est donc la classification, pas un essai public sur l’équité. Vous devez savoir si l’outil influence une décision importante, si votre rôle ressemble davantage à celui de développeur, de déployeur ou d’employeur dans la chaîne, et de quelles preuves l’utilisateur en aval aura besoin. Jackson Lewis affirme que le nouveau cadre du Colorado pour les employeurs déplace la responsabilité de la conformité au niveau du système vers une responsabilité décision par décision, ce qui signifie qu’une fiche de modèle générique ne suffira pas à tout porter.

Le problème du secret commercial se trouve dans la preuve Fisher Phillips

rapporte que la proposition de réécriture s’éloignerait des audits de biais obligatoires au profit de la transparence, des notifications, des droits de correction et de l’examen humain. Cela semble plus léger qu’une obligation d’audit, mais la paperasse ne disparaît pas pour autant. Jackson Lewis indique que les employeurs doivent fournir une transparence après décision, notamment une notification, l’accès aux données utilisées, une possibilité de correction et un examen humain. C’est ici que la question de la propriété intellectuelle entre en jeu, discrètement et coûteusement. Aucun des résumés cités ne décrit une obligation générale de publication du code source. Le vrai risque est que les dossiers nécessaires pour expliquer un résultat individuel exposent les choix de caractéristiques, la provenance des données, les seuils de notation, les prompts, les méthodes d’évaluation ou le flux de travail du fournisseur. Traitez ces éléments comme des ensembles de dossiers contrôlés : une explication destinée à l’utilisateur, un dossier pour un régulateur ou un auditeur, et une annexe technique confidentielle ne devraient pas avoir le même public ni les mêmes droits d’accès.

Les contrats ont besoin de voies

de divulgation Stinson note que l’approche du Colorado, centrée sur la discrimination, contraste avec l’accent mis par la Floride sur la transparence et celui de l’Utah sur la publicité politique. C’est important, car un concepteur national d’IA ne peut pas rédiger un seul récit de divulgation et considérer le travail terminé. Le même produit peut nécessiter des contrôles des biais au Colorado, des notifications différentes dans un autre État, et des flux de travail au niveau de l’employeur lorsqu’il est vendu pour le recrutement ou d’autres décisions en milieu de travail. Le contrat fournisseur est l’endroit où cela devient concret. Il doit préciser quelle documentation sera fournie pour la classification, quels champs de données peuvent être partagés avec les personnes concernées, comment les demandes d’examen humain sont acheminées, et quels éléments techniques restent confidentiels sauf si leur divulgation est légalement requise. La page du projet de loi SB24-205 de l’Assemblée générale du Colorado doit rester une partie du contrôle de statut, et non une réflexion après coup collée dans une note de conformité trimestrielle. La leçon utile n’est contre-intuitive que si la conformité et la protection de la propriété intellectuelle se trouvent dans des services différents. Le Colorado pousse la gouvernance de l’IA vers des résultats individuels explicables, tandis que la gestion des secrets commerciaux demande aux entreprises de limiter les divulgations inutiles. Les concepteurs devraient fusionner ces chantiers dès maintenant : concevoir la piste de preuves, étiqueter les couches sensibles, et surveiller le projet de loi de remplacement ainsi que la posture contentieuse avant de figer la feuille de route.