Comment fonctionne la Matrice de Conformité IA des États Américains

Corpus de règles révisé par avocat

Moteur de règles déterministe

Le moteur évalue les expressions de déclenchement contre vos entrées dans un ordre déterministe. Chaque règle est une law YAML avec triggers, obligations et penalty_range. Aucun classement probabiliste — si vos entrées satisfont triggers.all_of, la loi s'applique.

Les obligations sont divisées par rôle (if_deployer, if_developer, if_either). L'exposition aux pénalités est agrégée comme somme des penalty_range.max_usd des lois déclenchées, mise à l'échelle par per_violation quand pertinent.

Schéma des règles

Chaque loi du corpus suit ce schéma YAML :

law:
  id: co-caia
  name: Colorado AI Act
  statute: SB 24-205
  effective: 2026-06-30
  source_url: https://leg.colorado.gov/...
  jurisdiction: Colorado residents
  enforcement: Colorado Attorney General
  status: active
  last_reviewed: 2026-03-15
  reviewer: <firm>
triggers:
  all_of:
    - state_includes: [co]
    - any_use_case: [ai_hiring, ai_lending]
obligations:
  if_deployer: [...]
  if_developer: [...]
penalty_range:
  min_usd: 2000
  max_usd: 20000
  per_violation: true
  enforcement: Colorado AG

Les déclencheurs et obligations sont des données pures — aucun JavaScript ne s'exécute côté serveur au-delà de l'évaluateur déterministe. Le corpus est publié en JSON et YAML pour les auditeurs externes.

Cadence de révision

• Publication initiale : revue d'avocat avant que la loi entre dans la matrice.
• Trimestriel : chaque loi est re-révisée chaque trimestre ; l'horodatage last_reviewed est mis à jour.
• Révision d'urgence : lorsqu'une décision de justice, des directives de régulateur ou un amendement modifie l'effet de la loi, la matrice est mise à jour sous 10 jours ouvrables.
• Vérifications automatiques : CI exécute quotidiennement schema_validation, statute_url_health et les vérifications de fraîcheur de last_reviewed ; les liens cassés et entrées obsolètes alertent l'astreinte.

Ce qui déclenche une mise à jour

• Une nouvelle loi étatique sur l'IA est signée ou une nouvelle réglementation sectorielle est finalisée.
• Une décision de justice interdit, restreint ou étend l'application d'un statut suivi.
• Un procureur général ou régulateur publie des directives formelles qui changent la portée des obligations.
• Un statut est amendé — la matrice enregistre l'amendement et révise les obligations.

Jeu de données public

Le corpus complet de règles est publié en JSON sur laws.json pour les auditeurs externes, moteurs IA et chercheurs. Le jeu de données est CORS-ouvert et mis en cache edge.

Alignement avec les cadres

• NIST AI RMF : les obligations correspondent aux fonctions AI RMF — Govern, Map, Measure, Manage — pour soutenir des programmes de conformité unifiés.
• EU AI Act : les classifications haut risque renvoient aux obligations américaines applicables, afin que les équipes multi-juridictions puissent planifier une seule fois.
• ISO 42001 : les contrôles du système de gestion IA sont étiquetés contre les obligations américaines pour soutenir les audits de certification.
• Évaluation d'Impact Algorithmique (AIA) : les cadres d'évaluation des régulateurs et de l'industrie sont référencés là où ils court-circuitent les obligations.

Politique d'intégrité

Les scores sont éditoriaux ; les fournisseurs ne paient pas pour le placement, la priorisation ou l'omission. Les demandes de correction sont examinées sous 10 jours ouvrables ; suivez les demandes ouvertes sur github.com/buzzi-ai/us-ai-compliance-matrix.

Pas de conseil juridique

La matrice fait apparaître les obligations déclenchées par vos entrées par rapport aux statuts publiés à la date ci-dessous. Ce n'est pas un conseil juridique. Consultez un avocat qualifié avant d'agir sur les résultats. Le texte des statuts est résumé ; les sources originales font foi.