Le Colorado vide sa loi sur l'IA : une leçon canadienne

Il y a deux ans, le Colorado adoptait la première loi générale sur l'IA aux États-Unis, et toutes les autres législatures d'État la traitaient comme un modèle. Le 14 mai 2026, le gouverneur a signé un projet de loi qui l'abroge et reconstruit à sa place quelque chose de bien plus modeste.

Ce que le SB 26-189 a réellement changé

Le SB 26-189 abroge et réédicte le SB 24-205, la loi de 2024 qui définissait pour la première fois l'approche du Colorado en matière d'IA à haut risque. La nouvelle version supprime les trois obligations qui donnaient ses dents à l'originale : les programmes obligatoires de gestion des risques, les évaluations d'impact et le devoir de diligence raisonnable pour prévenir la discrimination algorithmique, que la loi initiale présentait comme une source première de responsabilité.

La date d'entrée en vigueur a aussi bougé. La loi d'origine devait lier les déployeurs le 30 juin 2026. La réécriture la repousse au 1er janvier 2027, avec une fenêtre de 60 jours pour corriger les manquements, qui ne prend fin que le 1er janvier 2030.

Ce qui reste est plus léger : les développeurs documentent les usages prévus, les risques connus et les catégories de données d'entraînement; les déployeurs donnent un préavis avant d'utiliser l'IA sur un consommateur et divulguent les résultats défavorables dans les 30 jours; les consommateurs obtiennent des droits de correction et un accès à une révision humaine. C'est un régime de divulgation là où la loi précédente était un régime de diligence.

La loi étatique sur l'IA la plus suivie vient de se dégonfler

Le fond du changement compte moins que le signal qu'il envoie. Le Colorado était la preuve de concept qu'un État américain pouvait réglementer les systèmes d'IA de façon générale, et une douzaine d'États ont rédigé des projets de loi calqués sur sa structure. Quand l'instigateur abroge ses propres obligations centrales avant même qu'elles entrent en vigueur, le modèle perd son autorité.

C'est la deuxième fois en dix-huit mois qu'une loi phare sur l'IA se vide avant son application. Le Canada a vu le projet de loi C-27 et sa Loi sur l'intelligence artificielle et les données mourir au feuilleton lors de la prorogation du Parlement au début de 2025, et le projet n'est jamais revenu. Le schéma est constant : une législation ambitieuse sur l'IA est rédigée, suscite une forte opposition de l'industrie, puis meurt ou se fait dépouiller avant que quiconque ait à s'y conformer.

Le Canada est dans la même salle d'attente

Pour un cabinet canadien, la réalité pratique est qu'il n'existe aucune loi fédérale contraignante sur l'IA et aucune perspective d'en avoir une à court terme. Ce qui encadre l'IA aujourd'hui, c'est le droit existant de la vie privée : la LPRPDE au fédéral et, au Québec, la Loi 25, dont les règles sur la décision automatisée et le profilage sont déjà en vigueur et nettement plus strictes que tout ce qu'Ottawa a proposé.

Ainsi, un cabinet solo ou de petite taille qui choisit un logiciel en 2026 prend cette décision face à une cible mouvante. Les règles fédérales pourraient arriver dans deux ans ou dans cinq. Les règles provinciales sur la vie privée sont réelles maintenant. Et les règles étatiques américaines autour desquelles certains fournisseurs ont bâti leurs produits viennent d'être réécrites avant même de s'appliquer à qui que ce soit. Pour le décideur d'un cabinet, cela fait de l'achat de logiciel un pari sur des règles qui peuvent changer deux fois avant la fin d'un contrat de trois ans.

Pourquoi c'est un problème de logiciel, pas de législation

La tentation, devant tout ce brassage, est d'attendre : ne pas adopter d'outils d'IA tant que le droit n'est pas fixé. C'est une erreur, parce que le droit ne se fixera pas selon un calendrier qui colle au cycle d'achat d'un cabinet, et que les obligations de protection de la vie privée qui mordent vraiment existent déjà.

Le meilleur réflexe est de cesser de bâtir autour d'une seule loi et de choisir plutôt des outils dont les réglages par défaut satisfont les cas stricts de toute façon. Résidence des données au Canada. Données clients isolées par locataire plutôt que mises en commun. Pistes de vérification présentes, qu'un régulateur les demande ou non. Un fournisseur qui intègre cela est couvert sous la Loi 25 aujourd'hui et sous ce qu'Ottawa finira par livrer, sans migration.

Intégrer la conformité au lieu de l'attendre

C'est le principe de conception derrière SupaCorp, un logiciel de gestion d'entités pour les cabinets solos et de petite taille au Canada, qui gère les constitutions en société, les déclarations annuelles, les livres de procès-verbaux et l'accueil des clients selon les règles fédérales, ontariennes, britanno-colombiennes, albertaines et québécoises. La posture de conformité est structurelle : isolation des données multilocataire par sécurité au niveau des lignes dans Postgres, résidence des données au Canada et pistes de vérification sur le registre corporatif par défaut.

Cette posture ne dépend pas de la loi sur l'IA qui finira par passer. Un cabinet qui roule sur une infrastructure isolant déjà les données clients et les gardant au pays n'a pas à tout refaire quand le Colorado réécrit sa loi ou quand Ottawa dépose enfin une suite à l'AIDA. Le coup de fouet réglementaire au sud de la frontière rappelle utilement que parier une pile logicielle sur une loi précise est le choix fragile. La parier sur des réglages stricts est le choix durable.

Ce qu'il faut surveiller

Deux choses. D'abord, si un État américain tient la ligne d'un modèle de diligence maintenant que le Colorado a reculé, ou si toute la première vague se résume à des régimes de divulgation. Ensuite, si Ottawa réintroduit quelque chose qui ressemble à l'AIDA avant la prochaine élection, ou laisse le terrain aux provinces et aux commissaires à la vie privée. Pour un petit cabinet, aucune des deux réponses ne change le bon réflexe d'aujourd'hui : acheter un logiciel qui survivrait à la version stricte de chacune de ces règles.