S'inscrire à la Privacy Sandbox

Pour accéder aux API de mesure et de pertinence de la Privacy Sandbox sur Chrome et Android, les développeurs doivent s'inscrire à la Privacy Sandbox. Cela inclut Attribution Reporting, Protected Audience, Topics, Private Aggregation et le stockage partagé. L'inscription des développeurs fournit un mécanisme permettant de valider les entités qui appellent ces API et de collecter les données spécifiques aux développeurs nécessaires pour configurer et utiliser correctement les API Privacy Sandbox. Ce processus d'enregistrement ajoute une couche de protection supplémentaire en plus des restrictions structurelles appliquées dans chaque API. Il permet de mieux comprendre qui collecte les données et de limiter les tentatives d'utilisation abusive des API pour collecter plus de données que prévu. Afin d'offrir une transparence contrôlable, les informations d'inscription de l'entreprise seront rendues publiques. Les entreprises doivent prévoir au moins cinq semaines pour terminer le processus d'inscription, à compter de la date d'envoi du formulaire. Cela inclut le temps nécessaire pour résoudre tout problème lié à l'envoi du formulaire ou tout autre problème qui pourrait survenir. Cela n'inclut pas le délai supplémentaire que les entreprises peuvent avoir besoin de préparer en interne avant d'envoyer le formulaire.

Avant de commencer

Avant de vous inscrire, assurez-vous de disposer d'un numéro DUNS pour votre organisation. Il s'agit d'un numéro unique à neuf chiffres fourni par Dun & Bradstreet. Il permet d'identifier votre entreprise. Il est vérifié lors du processus de validation de l'inscription à la Privacy Sandbox. Si votre entreprise a reçu plusieurs numéros DUNS, indiquez celui de niveau le plus élevé qui représente votre entité globale. Si votre entreprise n'est pas une entité juridique, vous ne pourrez pas obtenir de numéro DUNS.

Pour vérifier si un numéro DUNS a déjà été attribué à votre entreprise ou pour en obtenir un nouveau, envoyez une demande à l'aide du formulaire d'inscription. Google propose à cette fin une procédure de demande rapide et sans frais de Dun & Bradstreet. Une fois la demande envoyée, nous vous enverrons un e-mail contenant un lien à usage unique qui vous permettra d'accéder à la page de destination propre à Google et d'envoyer les informations concernant votre entreprise. Si vous ne finalisez pas l'envoi de vos informations, vous devrez demander un autre lien à Google.

Obtenir un numéro DUNS en tant que particulier

Si vous êtes une personne physique et que vous n'êtes pas affilié à une organisation, ou si votre organisation n'est pas en mesure d'obtenir un numéro DUNS, vous pouvez vous inscrire en tant que particulier sur le formulaire d'inscription. Toutes les informations (à l'exception des informations personnelles) collectées lors de l'inscription des développeurs peuvent être incluses dans les rapports Privacy Sandbox. Ces rapports seront accessibles au public.

Comment s'inscrire

Pour s'inscrire, les développeurs doivent remplir le formulaire d'inscription. Ce formulaire demande les informations suivantes:

  • les coordonnées professionnelles.
  • Numéro DUNS de votre organisation
  • API que vous prévoyez d'utiliser et informations de configuration des API

Les développeurs doivent également accepter des attestations concernant leur utilisation des API Privacy Sandbox enregistrées.

Enregistrer votre site, votre SDK ou votre application Android

Lors de l'inscription, vous devez fournir un site ou un SDK (ou les deux) que vous utiliserez pour appeler les API.
La procédure d'inscription dépend de la manière dont les API Privacy Sandbox sont appelées:

  • Si vous êtes développeur Web et que votre site appelle directement les API Privacy Sandbox, vous devez le fournir lors de l'inscription.
  • Si vous êtes un développeur de SDK Android, indiquez le nom de votre SDK lors de l'enregistrement. Si votre SDK utilise les API Attribution Reporting et Protected Audience, ou les deux, fournissez également l'enregistrement de votre site. Les applications qui utilisent votre SDK n'ont pas besoin de s'inscrire séparément, sauf si elles appellent les API Privacy Sandbox directement à partir de leur propre code. Si vous testez immédiatement les API Attribution Reporting sur Android à grande échelle, vous devrez fournir toutes les origines que vous utilisez.
  • Si vous êtes développeur d'applications et que votre application appelle directement les API Attribution Reporting et Protected Audience, ou les deux, vous devez fournir votre site lors de l'inscription.
  • Si vous êtes développeur d'applications et que vous déléguez entièrement la fonctionnalité d'annonces à un SDK, vous n'avez pas besoin de suivre le processus d'inscription.

Chaque site ou SDK qui appelle les API Privacy Sandbox nécessite une inscription unique et doit être attestée individuellement. Les applications qui appellent directement les API Privacy Sandbox peuvent être incluses dans une seule inscription. Si vous prévoyez d'appeler plusieurs API, spécifiez-les toutes lors du processus d'enregistrement. Remarque: Le site auprès duquel vous vous inscrivez est celui qui sera utilisé pour récupérer les clés de chiffrement pour l'utilisation de Topics sur Android et la clé de signature pour votre utilisation de Protected Audience sur Android. En savoir plus sur le point de terminaison de chiffrement pour Topics sur Android et sur les clés de signature pour Protected Audience.

Mettre à jour les informations d'inscription

Vous pouvez mettre à jour vos informations d'inscription à l'aide du formulaire d'inscription. Les mises à jour remplaceront les réponses précédentes.

Calendrier d'inscription

Une fois que nous aurons reçu votre formulaire d'inscription, nous examinerons et traiterons votre demande. Une fois l'examen terminé, vous recevrez un e-mail de confirmation avec un ID de compte d'inscription de développeur unique et un fichier d'attestation. Le fichier doit être rendu public à partir du chemin /.well-known sur le site pour lequel il a été enregistré dans les 30 jours suivant la réception de l'ID de compte et du fichier d'attestation. Les développeurs Android peuvent fournir l'ID d'enregistrement aux développeurs d'applications afin que leurs applications puissent définir un contrôle d'accès précis. Pour en savoir plus, consultez la documentation Android Configurer les services publicitaires spécifiques aux API. Remarque: Les inscriptions sont examinées une fois que le formulaire d'inscription a été correctement rempli dans son intégralité. La saisie des informations correctes dans votre demande initiale et la réponse rapide aux demandes de l'équipe d'assistance technique Google permettent d'accélérer le processus.

Inscription pour différents environnements de développement

Vos environnements de préproduction, de contrôle qualité et de test seront automatiquement enregistrés s'ils utilisent le même site que votre environnement de production. Vous pouvez effectuer des tests en local sans passer par l'enregistrement. Pour les tests en local, nous fournissons des forçages pour les développeurs à partir de Chrome 116 avec un indicateur Chrome et un commutateur CLI:

  • Indicateur: chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI: --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

Limites

Tenez compte des limites suivantes concernant l'inscription des développeurs lorsque vous déterminez la structure d'inscription de votre organisation:

  • Un site ne peut être associé qu'à une seule inscription.
  • Une inscription ne contient qu'un seul site.
  • Limites propres au SDK :
    1. Un même enregistrement peut contenir plusieurs SDK.
    2. Un SDK donné ne peut être associé qu'à un seul enregistrement.
  • D'autres inscriptions sont autorisées, à condition qu'elles concernent des produits ou activités indépendants clairement établis et vérifiables publiquement (autrement dit, un site Web public correspondant qui explique le produit concerné). Un même produit ne peut pas être enregistré plusieurs fois. Les attestations s'appliquent à chaque enregistrement individuellement.
  • Avec une inscription définie au niveau du site, une seule inscription peut couvrir un nombre illimité d'origines, à condition qu'il s'agisse d'un même site. Cependant, il n'existe qu'une seule origine de création de rapports par source (Chrome, Android), ce qui signifie que vous êtes généralement limité à une origine par éditeur.

Inscriptions multiples pour une même entité

Les entités plus complexes disposant de plusieurs produits uniques peuvent demander plusieurs inscriptions. Par exemple, si votre entreprise dispose d'une SSP et d'un secteur d'activité DSP, vous pouvez être éligible pour plusieurs inscriptions.

Chaque produit doit disposer de sites distincts à partir desquels appeler les API. Vous devrez fournir une déclaration publique pour chaque produit pour lequel vous demandez l'inscription (par exemple, un lien vers un site Web public qui explique le produit).

Si vous souhaitez inscrire plusieurs sites ou SDK, remplissez le formulaire de demande d'inscription multiple en plus du formulaire d'inscription normal pour la première demande d'inscription. Une fois envoyée, votre demande sera examinée et vous recevrez un e-mail une fois le processus terminé.

Envoyer plusieurs inscriptions avec le même numéro DUNS

Si vous postulez plusieurs inscriptions à l'aide du formulaire de demande d'inscription multiple, vous pouvez utiliser le même numéro DUNS à chaque inscription.

Rediriger avec Attribution Reporting

Imaginons que le site A ne soit pas inscrit, mais que le site B l'est. ARA pingue les URL pour les redirections, même si elles ne sont pas enregistrées. Par conséquent, la redirection de siteA.com vers siteB.com fonctionnera. Toutefois, les sources et les déclencheurs ne seront enregistrés qu'à partir des technologies publicitaires enregistrées.

S'inscrire au service d'agrégation

Il existe actuellement un processus d'enregistrement distinct pour les éléments serveur et pour les API clientes (pour Chrome et Android). Les deux formulaires d'inscription sont requis pour utiliser le service d'agrégation. Nous cherchons à simplifier les processus. Pour l'instant, le service d'agrégation se présente sous une forme distincte. Lors de l'inscription au service d'agrégation, vous devez enregistrer une origine (schéma, nom d'hôte) qui doit faire partie du même site (schéma, eTLD+1) enregistré lors de l'inscription du développeur.

Chaque inscription au service d'agrégation doit inclure l'ID du compte AWS, dans lequel le service d'agrégation sera déployé. Chaque compte AWS ne peut être associé qu'à une seule inscription au service d'agrégation.

Importer votre fichier d'attestation

Une fois que vous vous êtes inscrit et que vous avez réussi la procédure de validation, nous envoyons un fichier contenant les attestations spécifiques à l'API à l'adresse e-mail que vous avez indiquée. Vous disposerez d'un délai d'implémentation de 30 jours à compter de la réception de l'ID de compte et du fichier d'attestation pour finaliser l'emplacement du fichier d'attestation. Pendant cette période, vous pourrez toujours appeler les API pendant 30 jours, mais vous devez respecter le langage de l'attestation pendant cette période.

Pour terminer l'inscription, vous devez rendre le fichier disponible à partir du chemin .well-known public sur le site qui a été enregistré. Par exemple, si vous enregistrez https://example.com, placez le fichier d'attestation sous https://example.com/.well-known/privacy-sandbox-attestations.json. Vous ne pouvez pas utiliser de redirections HTTP pour diffuser le fichier d'attestation. Le fichier d'attestation doit se trouver dans le répertoire .well-known de votre site. Elle ne peut pas rediriger les utilisateurs vers un autre emplacement (par exemple, un sous-domaine ou un autre site).

Vous devez respecter les attestations et conserver le fichier d'attestation pendant toute la durée de l'inscription. Les fichiers d'attestation sont régulièrement vérifiés. Si vous ne les conservez pas pendant une longue période, les appels d'API échoueront jusqu'à ce que le fichier soit restauré.

Remarques :

  • La Privacy Sandbox exécutera une tâche côté serveur pour récupérer le fichier d'attestation des technologies publicitaires enregistrées et créera une liste d'autorisation basée sur le contenu du fichier. Cette liste d'autorisation sera ensuite synchronisée avec le navigateur et l'OS. Ce job récupérera le fichier une fois par heure au maximum.
  • L'objectif est que le fichier d'attestation soit accessible publiquement. La technologie publicitaire doit s'attendre à certaines demandes d'extraction de la part de tiers externes, dont des chercheurs, des organismes de réglementation et des utilisateurs (en dehors des demandes d'extraction de l'infrastructure Privacy Sandbox). Les technologies publicitaires doivent leur fournir le même fichier que celui qu'elles diffusent sur Google.
  • Chaque appel d'API ne déclenche pas de requête de récupération du fichier d'attestation.

Pour les attestations Topics sur Android, les développeurs d'applications et de SDK doivent accepter l'attestation dans le formulaire d'inscription et n'ont pas besoin de placer un fichier d'attestation sur leur serveur, sauf s'ils utilisent d'autres API Privacy Sandbox.

Mettre à jour l'attestation pour ajouter d'autres API

Si vous décidez d'inclure des API supplémentaires dans votre inscription par la suite, vous devrez mettre à jour votre inscription. Dans le cadre de ce processus, vous recevrez un fichier d'attestation mis à jour. Vous devez le mettre à disposition à partir du chemin .well-known sur votre site avant de pouvoir appeler les nouvelles API.

Installez la dernière version du fichier d'attestation.

Toutes les entreprises inscrites doivent mettre à jour le fichier d'attestation qu'elles ont reçu de Google.
Les fichiers d'attestation n'expirent pas après une période donnée. Des fichiers d'attestation nouveaux ou mis à jour peuvent être fournis de temps en temps à mesure que le framework d'attestation évolue (par exemple, de nouvelles attestations spécifiques à l'API sont ajoutées, etc.).

Erreurs ponctuelles

L'accès n'est interrompu que si le serveur qui vérifie le fichier d'attestation ne parvient pas à le valider à plusieurs reprises. Une seule erreur ou un seul problème de diffusion n'entraîne pas la suppression de l'accès.

Pour en savoir plus, consultez le site GitHub sur les attestations.

Données des développeurs Android

Les entités qui ont l'intention d'utiliser les API Privacy Sandbox sur Android reçoivent un ID de compte d'enregistrement, qui peut être inclus dans la configuration AdServices d'une application. Cela permet aux développeurs d'applications de contrôler précisément les technologies publicitaires avec lesquelles leur application ou leurs SDK interagissent.