S'inscrire à la Privacy Sandbox

Pour accéder aux API de mesure et de pertinence de la Privacy Sandbox sur Chrome et Android, les développeurs doivent s'inscrire à la Privacy Sandbox. Cela inclut Attribution Reporting, Protected Audience, Topics, Private Aggregation et Shared Storage. L'enregistrement des développeurs fournit un mécanisme permettant de valider les entités qui appellent ces API et de recueillir les données spécifiques aux développeurs nécessaires pour configurer et utiliser correctement les API Privacy Sandbox. Ce processus d'enregistrement ajoute un niveau de protection supplémentaire en plus des restrictions structurelles appliquées dans chaque API. Il permet de préciser qui collecte les données et de limiter les tentatives d'utilisation abusive des API pour collecter plus de données que prévu. Dans un souci de transparence, les informations d'inscription concernant l'entreprise seront rendues publiques. Les entreprises doivent prévoir au moins cinq semaines pour terminer le processus d'inscription, à compter de l'envoi du formulaire d'inscription. Cela inclut le temps nécessaire pour résoudre tout problème lié à l'envoi du formulaire ou tout autre problème pouvant survenir. Cela n'inclut pas les délais supplémentaires que les entreprises peuvent avoir besoin de préparer en interne avant l'envoi du formulaire.

Avant de commencer

Avant de commencer l'enregistrement, assurez-vous de disposer d'un numéro DUNS pour votre organisation. Il s'agit d'un numéro unique à neuf chiffres fourni par Dun & Bradstreet. Il permet d'identifier votre entreprise et est vérifié lors de la procédure de validation de l'inscription à la Privacy Sandbox. Si plusieurs numéros DUNS ont été attribués à votre entreprise, indiquez le numéro le plus élevé qui représente votre entité globale. Si votre entreprise n'est pas une entité juridique, vous ne pourrez pas obtenir de numéro DUNS.

Pour vérifier si un numéro DUNS a déjà été attribué à votre entreprise ou pour en obtenir un nouveau, envoyez une demande à l'aide du formulaire d'inscription. À cette fin, Google propose un processus de demande Dun & Bradstreet accéléré et sans frais. Une fois votre demande envoyée, nous vous enverrons un e-mail contenant un lien unique et unique qui vous permettra d'accéder à la page de destination propre à Google et de nous transmettre les informations concernant votre entreprise. Si vous ne fournissez pas vos informations, vous devrez demander une autre association à Google.

Obtenir un numéro DUNS en tant que particulier

Si vous êtes une personne physique non affiliée à une organisation, ou si votre organisation n'est pas en mesure d'obtenir un numéro DUNS, vous pouvez vous inscrire en tant que particulier via le formulaire d'inscription. Toutes les informations (à l'exception des informations permettant d'identifier personnellement l'utilisateur) collectées lors de l'inscription des développeurs peuvent être incluses dans les rapports de la Privacy Sandbox. Ces rapports seront disponibles publiquement.

Comment s'inscrire

Pour s'inscrire, les développeurs doivent remplir le formulaire d'inscription. Le formulaire demande les informations suivantes:

  • les coordonnées professionnelles.
  • Numéro DUNS de votre organisation
  • Les API que vous prévoyez d'utiliser et les informations de configuration des API

Les développeurs doivent également accepter les attestations concernant leur utilisation des API Privacy Sandbox enregistrées.

Enregistrer votre site, votre SDK Android ou votre application Android

Lors de l'enregistrement, vous devez fournir un site ou un SDK (ou les deux) que vous utiliserez pour appeler les API.
La procédure d'inscription dépend du nom des API Privacy Sandbox:

  • Si vous êtes développeur Web et que votre site appelle directement les API Privacy Sandbox, vous devez le fournir lors de votre inscription.
  • Si vous êtes un développeur de SDK Android, indiquez le nom de votre SDK lors de l'enregistrement. Si votre SDK utilise Attribution Reporting, Protected Audience ou les deux, fournissez également votre site lors de l'enregistrement. Les applications qui utilisent votre SDK n'ont pas besoin de s'enregistrer séparément, sauf si elles appellent les API Privacy Sandbox directement à partir de leur propre code. Si vous testez immédiatement les API Attribution Reporting sur Android à grande échelle, vous devrez fournir toutes les origines que vous utilisez.
  • Si vous êtes développeur d'applications et que votre application appelle directement l'API Attribution Reporting, Protected Audience ou les deux, vous devez fournir votre site lors de l'enregistrement.
  • Si vous êtes développeur d'applications et que vous déléguez l'intégralité de vos fonctionnalités publicitaires à un SDK, vous n'avez pas besoin de suivre la procédure d'inscription.

Chaque site ou SDK qui appelle les API Privacy Sandbox nécessite un enregistrement unique et doit en attester individuellement. Les applications qui appellent directement les API Privacy Sandbox peuvent être incluses dans un même enregistrement. Si vous prévoyez d'appeler plusieurs API, spécifiez chacune d'elles lors du processus d'enregistrement. Remarque: Le site sur lequel vous vous inscrivez est le même que celui qui sera utilisé pour récupérer les clés de chiffrement à utiliser avec Topics sur Android et la clé de signature pour votre utilisation de Protected Audience sur Android. En savoir plus sur le point de terminaison du chiffrement pour Topics sur Android et sur la signature de clés pour Protected Audience

Mettre à jour les informations d'inscription

Vous pouvez mettre à jour vos informations d'inscription à l'aide du formulaire d'inscription. Les mises à jour remplaceront les réponses précédentes.

Calendrier d'inscription

Une fois votre formulaire d'inscription envoyé, nous examinerons et traiterons votre demande. Une fois l'examen terminé, vous recevrez un e-mail de confirmation contenant un ID de compte d'inscription de développeur unique et un fichier d'attestation. Le fichier doit être accessible publiquement à partir du chemin /.well-known sur le site pour lequel il a été enregistré dans les 30 jours suivant la réception de l'ID de compte et du fichier d'attestation. Les développeurs Android peuvent fournir l'ID d'enregistrement aux développeurs d'applications afin que les applications puissent définir un contrôle des accès précis. Pour en savoir plus, consultez la documentation Android Configurer des services publicitaires spécifiques aux API. Remarque: L'examen des demandes d'inscription est terminé une fois que le formulaire d'inscription a été entièrement rempli. Pour accélérer le processus, veuillez saisir les informations correctes dans votre demande initiale et répondre dans les meilleurs délais aux demandes de l'équipe d'assistance technique Google.

Enregistrement pour différents environnements de développement

Vos environnements de préproduction, bêta, de contrôle qualité et de test seront automatiquement enregistrés s'ils utilisent le même site que votre environnement de production. Vous pouvez effectuer des tests en local sans passer par le processus d'enregistrement. Pour les tests en local, nous fournissons des forçages de développeur à partir de Chrome 116 avec un indicateur Chrome et un commutateur CLI:

  • Indicateur: chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI: --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

Limites

Tenez compte des limites suivantes concernant l'inscription des développeurs lorsque vous déterminez la structure d'inscription de votre organisation:

  • Un site ne peut être associé qu'à un seul enregistrement.
  • Un enregistrement ne contient qu'un seul site.
  • Limites spécifiques au SDK :
    1. Un enregistrement peut contenir plusieurs SDK.
    2. Un SDK donné ne peut être associé qu'à un seul enregistrement.
  • D'autres inscriptions sont autorisées, mais elles doivent concerner des produits ou des secteurs d'activité indépendants clairement établis et vérifiables publiquement (c'est-à-dire un site Web public correspondant qui explique le produit en question). Vous ne pouvez pas disposer de plusieurs enregistrements pour le même produit. Les attestations s'appliquent individuellement à chaque inscription.
  • Avec l'enregistrement au niveau du site, une inscription unique peut couvrir un nombre illimité d'origines, à condition qu'elles se trouvent sur le même site. Toutefois, le nombre maximal d'origines de création de rapports par source (Chrome, Android) signifie que vous êtes généralement limité à une origine par éditeur.

Plusieurs enregistrements pour une même entité

Les entités plus complexes qui possèdent plusieurs produits uniques peuvent demander plusieurs inscriptions. Par exemple, si votre entreprise dispose d'une SSP et d'une branche d'activité DSP, vous pouvez peut-être bénéficier de plusieurs inscriptions.

Chaque produit doit être associé à des sites distincts à partir desquels les API sont appelées. Vous devrez fournir une représentation publique pour chaque produit que vous demandez à enregistrer (par exemple, un lien vers un site Web public qui explique le produit).

Si vous souhaitez enregistrer plusieurs sites ou SDK, remplissez le formulaire de demande d'inscription multiple en plus du formulaire d'inscription normal pour la première inscription que vous demandez. Une fois envoyée, votre demande sera examinée et vous recevrez un e-mail lorsque le processus d'examen sera terminé.

Envoyer plusieurs enregistrements sous le même numéro DUNS

Si vous demandez plusieurs inscriptions à l'aide du formulaire de procédure de demande d'inscription multiple, vous pouvez utiliser le même numéro DUNS pour chaque enregistrement.

Redirection avec Attribution Reporting

Prenons l'exemple d'un scénario dans lequel le site A n'est pas enregistré, mais le site B l'est. ARA pinguera les URL pour les redirections, même si elles ne sont pas enregistrées. Par conséquent, la redirection de siteA.com vers siteB.com fonctionnera. Toutefois, les sources et les déclencheurs ne seront enregistrés qu'à partir des technologies publicitaires enregistrées.

S'inscrire au service d'agrégation

Il existe actuellement un processus d'enregistrement distinct pour les éléments serveur et les API clientes (pour Chrome et Android). Ces deux formulaires d'inscription sont nécessaires pour utiliser le service d'agrégation. Nous cherchons à simplifier les processus. Pour l'instant, le service d'agrégation possède un formulaire distinct. Lors de l'inscription au service d'agrégation, vous vous inscrivez auprès d'un site qui doit correspondre au même site (schéma, eTLD+1) que celui enregistré lors de l'enregistrement pour les développeurs.

Chaque inscription au service d'agrégation doit inclure l'ID du compte AWS ou le compte de service GCP dans lequel le service d'agrégation sera déployé. Les technologies publicitaires ont la possibilité d'associer plusieurs sites à un seul compte, ou plusieurs comptes à un seul site pour répondre à différents besoins en termes de tests, d'opérations et de rentabilité.

Importer le fichier d'attestation

Une fois inscrit et validé, nous vous enverrons un fichier contenant les attestations spécifiques à l'API à l'adresse e-mail que vous avez indiquée. À compter de la réception de l'ID de compte et du fichier d'attestation, vous disposerez d'une période d'implémentation de 30 jours pour finaliser l'emplacement de votre fichier d'attestation. Vous pourrez toujours appeler les API pendant 30 jours, mais vous devez respecter le langage d'attestation.

Pour terminer l'enregistrement, vous devez rendre le fichier disponible à partir du chemin d'accès .well-known public sur le site enregistré. Par exemple, si vous enregistrez https://example.com, placez le fichier d'attestation à l'emplacement https://example.com/.well-known/privacy-sandbox-attestations.json. Vous ne pouvez pas utiliser de redirections HTTP pour diffuser le fichier d'attestation. Le fichier d'attestation doit se trouver dans le répertoire .well-known de votre site. et non vers un autre emplacement (par exemple, un sous-domaine ou un autre site).

Vous devez respecter les attestations et conserver le fichier d'attestation en place pendant toute la durée de l'inscription. Les fichiers d'attestation sont régulièrement vérifiés, et l'échec prolongé de leur maintien en place entraînera l'échec des appels d'API jusqu'à ce qu'ils soient restaurés.

Remarques :

  • La Privacy Sandbox exécutera une tâche côté serveur pour récupérer le fichier d'attestation auprès des technologies publicitaires enregistrées et créer une liste d'autorisation basée sur le contenu du fichier. Cette liste d'autorisation sera ensuite synchronisée avec le navigateur et le système d'exploitation. Cette tâche ne récupérera le fichier qu'une fois par heure au maximum.
  • L'objectif est de rendre le fichier d'attestation accessible publiquement. La technologie publicitaire doit s'attendre à des demandes d'exploration provenant de tiers externes, y compris des chercheurs, des organismes de réglementation et des utilisateurs (en dehors des demandes d'exploration de l'infrastructure de la Privacy Sandbox). Les technologies publicitaires doivent leur fournir le même fichier que celui qu'elles diffusent sur Google.
  • Chaque appel d'API ne déclenche pas de requête de récupération du fichier d'attestation.

Pour les attestations Topics sur Android, les développeurs d'applications et de SDK doivent accepter l'attestation dans le formulaire d'inscription et n'ont pas besoin de placer un fichier d'attestation sur leur serveur, sauf s'ils utilisent d'autres API Privacy Sandbox.

Mettre à jour l'attestation pour ajouter d'autres API

Si vous décidez d'inclure plus d'API dans votre inscription par la suite, vous devrez mettre à jour votre inscription. Dans le cadre de ce processus, vous recevrez un fichier d'attestation mis à jour qui doit être mis à disposition à partir du chemin .well-known sur votre site avant de pouvoir appeler les nouvelles API.

Passer à la dernière version du fichier d'attestation

Toutes les entreprises inscrites doivent passer à la dernière version du fichier d'attestation qu'elles ont reçu de Google.
Les fichiers d'attestation n'expirent pas après une période donnée. De nouveaux fichiers d'attestation ou des fichiers mis à jour peuvent être fournis de temps en temps à mesure que le framework d'attestation évolue (par exemple, de nouvelles attestations spécifiques aux API sont ajoutées, etc.).

Erreurs ponctuelles

L'accès n'est interrompu que si le serveur qui vérifie le fichier d'attestation est à plusieurs reprises incapable de le valider. Une seule erreur ou un seul problème de diffusion n'entraînerait pas la suppression de l'accès.

Pour en savoir plus, consultez GitHub sur les attestations.

Données du développeur Android

Les entités qui ont l'intention d'utiliser les API Privacy Sandbox sur Android reçoivent un ID de compte d'enregistrement, qui peut être inclus dans la configuration AdServices d'une application. Cela permet aux développeurs d'applications de contrôler précisément les technologies publicitaires avec lesquelles leur application ou leurs SDK interagissent.