Avec le renforcement des lois concernant la vie privée des utilisateurs en ligne, l’IAB Tech Lab travaille sur un nouveau standard nommé Data Deletion Request Framework et ainsi permettre à l’écosystème de la publicité digitale de gérer la volonté des utilisateurs de supprimer leurs données.
Data Deletion Request Framework : Kezako ?
Le Data Deletion Request Framework est une spécification, permettant à toutes les adtechs impliquées, de communiquer la requête d’un utilisateur pour la suppression de données qui lui sont affiliées.
Sur la partie législation, cette spécification veut aider les adtech à répondre au Data Subject Right (DSR) qui est le « droit de supprimer » pour un utilisateur (on peut même parler de « right to be forgotten », le droit d’être oublié via RGPD) qui apparait de plus en plus dans les lois à travers le monde comme via RGPD, US state privacy laws etc…
Quel est l’origine de ce standard ?
Historiquement, lorsqu’un utilisateur fait une demande auprès d’un site pour la suppression de ses données, en général cela ne concerne pas qu’une seule entreprise. Par conséquent, chaque entité gère de sa propre façon ces demandes.
Afin d’aider les adtechs à se communiquer la demande d’un d’utilisateur, le Global Privacy Working Group de l’IAB Tech Lab a sorti le Data Deletion Request Framework (lien : https://iabtechlab.com/iab-tech-lab-launches-second-public-comment-period-for-data-deletion-request-framework/) en novembre 2023, qui est de plus un composant additionnel de GPP (Global Privacy Platform) le framework de transmission des préférences de consentement d’un utilisateur et qui supporte de multiples juridictions (IAB Europe TCF, US privacy signal…).
Techniquement, comment cela fonctionne ?
Pour supporter la spécification, chaque adtech doit implémenter le standard JSON Web Tokens (JWT). Cela permet à une adtech de vérifier chaque participant et d’éviter la transmission d’information (dans ce cas, on parle de requête de suppression de données de la part d’un utilisateur) à une entité non reconnue et potentiellement malveillante. Le standard s’applique en trois étapes :
1. Une clé publique conforme au JSON Web Key (JWK) et permettre aux autres participants de vérifier l’authenticité d’un participant via une clé privée
2. Le participant doit publier dans un fichier accessible nommé dsrdelete.json, la procédure pour faire la demande de suppression de données
3. Le participant doit fournir un endpoint (URL pour effectuer la connexion) dans le fichier dsrdelete.json, pour indiquer la destination de la requête.
