S'inscrire à la Privacy Sandbox

Pour accéder aux API de mesure et de pertinence de la Privacy Sandbox sur Chrome et Android, les développeurs doivent s'inscrire à la Privacy Sandbox. Cela inclut Attribution Reporting, Protected Audience, Topics, Private Aggregation et Shared Storage. L'inscription des développeurs fournit un mécanisme permettant de valider les entités qui appellent ces API, et de rassembler les données spécifiques aux développeurs nécessaires pour configurer et utiliser correctement les API de la Privacy Sandbox. Ce processus d'enregistrement ajoute un niveau de protection supplémentaire en plus des restrictions structurelles appliquées dans chaque API. Il permet de préciser qui collecte les données et de limiter les tentatives d'utilisation abusive des API pour collecter plus de données que prévu. Pour garantir une transparence vérifiable, les informations d'inscription de l'entreprise seront rendues publiques. Les entreprises doivent prévoir au moins cinq semaines pour terminer le processus d'inscription, à compter de la date d'envoi du formulaire d'inscription. Cela inclut le temps nécessaire pour résoudre les problèmes liés à l'envoi du formulaire ou à d'autres problèmes pouvant survenir. Cela n'inclut pas les délais supplémentaires que les entreprises peuvent avoir besoin de préparer en interne avant l'envoi du formulaire.

Avant de commencer

Avant de commencer l'enregistrement, assurez-vous de disposer d'un numéro DUNS pour votre organisation. Il s'agit d'un numéro unique à neuf chiffres fourni par Dun & Bradstreet qui permet d'identifier votre entreprise. Il est vérifié lors du processus de validation de l'inscription à la Privacy Sandbox. Si plusieurs numéros DUNS ont été attribués à votre entreprise, indiquez le numéro le plus élevé qui représente votre entité globale. Si votre entreprise n'est pas une entité juridique, vous ne pouvez pas obtenir de numéro D-U-N-S.

Pour vérifier si votre entreprise dispose déjà d'un numéro DUNS ou pour en obtenir un nouveau, envoyez une demande à l'aide du formulaire d'inscription. À cette fin, Google propose un processus de demande Dun &Bradstreet accéléré et sans frais. Une fois votre demande envoyée, nous vous enverrons un e-mail contenant un lien unique et à usage unique. Il vous permettra d'accéder à la page de destination Google pour envoyer les informations sur votre établissement. Si vous ne fournissez pas vos informations, vous devrez demander une autre association à Google.

Obtenir un numéro DUNS en tant que particulier

Si vous êtes une personne physique et que vous n'êtes pas affilié à une organisation, ou si votre organisation ne peut pas obtenir de numéro DUNS, vous pouvez vous inscrire en tant que personne physique sur le formulaire d'inscription. Toutes les informations (à l'exception des informations permettant d'identifier personnellement l'utilisateur) collectées lors de l'inscription des développeurs peuvent être incluses dans les rapports de la Privacy Sandbox. Ces rapports seront disponibles publiquement.

Comment s'inscrire

Pour s'inscrire, les développeurs doivent remplir le formulaire d'inscription. Le formulaire demande les informations suivantes:

  • les coordonnées professionnelles.
  • Numéro DUNS de votre organisation
  • API que vous prévoyez d'utiliser et informations de configuration des API

Les développeurs doivent également accepter les attestations concernant leur utilisation des API Privacy Sandbox enregistrées.

Enregistrer votre site, votre SDK Android ou votre application Android

Lors de l'inscription, vous devez fournir un site ou un SDK (ou les deux) que vous utiliserez pour appeler les API.
La procédure d'inscription dépend de la manière dont les API Privacy Sandbox sont appelées :

  • Si vous êtes développeur Web et que votre site appelle directement les API Privacy Sandbox, vous devez le fournir lors de votre inscription.
  • Si vous êtes un développeur de SDK Android, indiquez le nom de votre SDK lors de l'enregistrement. Si votre SDK utilise Attribution Reporting, Protected Audience ou les deux, fournissez également votre site lors de l'enregistrement. Les applications qui utilisent votre SDK n'ont pas besoin de s'enregistrer séparément, sauf si elles appellent les API Privacy Sandbox directement à partir de leur propre code. Si vous testez immédiatement les API Attribution Reporting sur Android à grande échelle, vous devrez fournir toutes les origines que vous utilisez.
  • Si vous êtes développeur d'applications et que votre application appelle directement les API Attribution Reporting, Protected Audience ou les deux, vous devez indiquer votre site lors de l'enregistrement.
  • Si vous êtes développeur d'applications et que vous délégez entièrement la fonctionnalité d'annonces à un SDK, vous n'avez pas besoin de suivre la procédure d'inscription.

Chaque site ou SDK qui appelle les API Privacy Sandbox nécessite un enregistrement unique et doit en attester individuellement. Les applications qui appellent directement les API Privacy Sandbox peuvent être incluses dans une seule inscription. Si vous prévoyez d'appeler plusieurs API, spécifiez-les toutes lors du processus d'inscription. Remarque: Le site sur lequel vous vous inscrivez est le même que celui qui sera utilisé pour récupérer les clés de chiffrement à utiliser avec Topics sur Android et la clé de signature pour votre utilisation de Protected Audience sur Android. En savoir plus sur le point de terminaison du chiffrement pour Topics sur Android et sur les clés de signature pour Protected Audience

Mettre à jour les informations d'inscription

Vous pouvez mettre à jour vos informations d'inscription à l'aide du formulaire d'inscription. Les mises à jour remplaceront les réponses précédentes.

Calendrier d'inscription

Une fois votre formulaire d'inscription envoyé, nous l'examinerons et le traiterons. Une fois l'examen terminé, vous recevrez un e-mail de confirmation contenant un ID de compte d'inscription de développeur unique et un fichier d'attestation. Le fichier doit être accessible publiquement à partir du chemin /.well-known sur le site pour lequel il a été enregistré dans les 30 jours suivant la réception de l'ID de compte et du fichier d'attestation. Les développeurs Android peuvent fournir l'ID d'enregistrement aux développeurs d'applications afin que les applications puissent définir un contrôle des accès précis. Pour en savoir plus, consultez la documentation Configurer les services publicitaires spécifiques à l'API d'Android. Remarque: L'examen des demandes d'inscription est terminé une fois que le formulaire d'inscription a été entièrement rempli. En saisissant les informations correctes dans votre demande initiale et en répondant rapidement à toute question de l'équipe d'assistance technique de Google, vous accélérez le processus.

Inscription pour différents environnements de développement

Vos environnements de préproduction, bêta, de contrôle qualité et de test seront automatiquement enregistrés s'ils utilisent le même site que votre environnement de production. Vous pouvez effectuer des tests en local sans passer par l'inscription. Pour les tests locaux, nous fournissons des forçages pour les développeurs à partir de Chrome 116 avec un indicateur Chrome et un commutateur CLI :

  • Indicateur : chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI : --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

Limites

Tenez compte des limites d'enregistrement des développeurs suivantes lorsque vous déterminez la structure d'enregistrement de votre organisation :

  • Un site ne peut être associé qu'à un seul enregistrement.
  • Une inscription ne contient qu'un seul site.
  • Limites spécifiques au SDK :
    1. Un enregistrement peut contenir plusieurs SDK.
    2. Un SDK donné ne peut être associé qu'à un seul enregistrement.
  • D'autres inscriptions sont autorisées, mais elles doivent concerner des produits ou des secteurs d'activité indépendants clairement établis et vérifiables publiquement (c'est-à-dire un site Web public correspondant qui explique le produit en question). Vous ne pouvez pas vous inscrire plusieurs fois pour le même produit. Les attestations s'appliquent à chaque inscription individuellement.
  • Avec l'enregistrement au niveau du site, un seul enregistrement peut couvrir un nombre illimité d'origines, à condition qu'elles soient du même site. Toutefois, la limite de taux d'une seule origine de création de rapports par source (Chrome, Android) signifie que vous êtes généralement limité à une seule origine par éditeur.

Plusieurs enregistrements pour une même entité

Les entités plus complexes qui possèdent plusieurs produits uniques peuvent demander plusieurs inscriptions. Par exemple, si votre entreprise propose un SSP et une DSP, vous pouvez être éligible à plusieurs enregistrements.

Chaque produit doit être associé à des sites distincts à partir desquels les API sont appelées. Vous devrez fournir une représentation publique pour chaque produit que vous demandez à enregistrer (par exemple, un lien vers un site Web public expliquant le produit).

Si vous souhaitez enregistrer plusieurs sites ou SDK, remplissez le formulaire de demande d'inscription multiple en plus du formulaire d'inscription normal pour la première inscription que vous demandez. Une fois envoyée, votre demande sera examinée et vous recevrez un e-mail lorsque le processus d'examen sera terminé.

Envoyer plusieurs inscriptions avec le même numéro D-U-N-S

Si vous demandez plusieurs inscriptions à l'aide du formulaire de procédure de demande d'inscription multiple, vous pouvez utiliser le même numéro DUNS pour chaque enregistrement.

Redirection avec Attribution Reporting

Imaginons que le site A ne soit pas inscrit, mais que le site B l'ait été. ARA pinguera les URL pour les redirections, même si elles ne sont pas enregistrées. Par conséquent, la redirection de siteA.com vers siteB.com fonctionnera. Toutefois, les sources et les déclencheurs ne seront enregistrés que depuis les technologies publicitaires enregistrées.

S'inscrire au service d'agrégation

Il existe actuellement un processus d'inscription distinct pour les éléments du serveur et les API client (pour Chrome et Android). Ces deux formulaires d'inscription sont nécessaires pour utiliser le service d'agrégation. Nous souhaitons simplifier les processus. Pour le moment, le service d'agrégation dispose d'un formulaire distinct. Lors de l'inscription au service d'agrégation, vous vous inscrivez auprès d'un site qui doit correspondre au même site (schéma, eTLD+1) que celui enregistré lors de l'enregistrement pour les développeurs.

Chaque inscription au service d'agrégation doit inclure l'ID du compte AWS ou le compte de service GCP dans lequel le service d'agrégation sera déployé. Les technologies publicitaires ont la possibilité d'associer plusieurs sites à un seul compte, ou plusieurs comptes à un seul site pour répondre à différents besoins en termes de tests, d'opérations et de rentabilité.

Importer le fichier d'attestation

Une fois inscrit et validé, nous vous enverrons un fichier contenant les attestations spécifiques à l'API à l'adresse e-mail que vous avez indiquée. À compter de la réception de l'ID de compte et du fichier d'attestation, vous disposerez d'une période d'implémentation de 30 jours pour finaliser l'emplacement de votre fichier d'attestation. Vous pourrez toujours appeler les API pendant 30 jours, mais vous devez respecter le langage d'attestation.

Pour terminer l'enregistrement, vous devez rendre le fichier disponible à partir du chemin d'accès .well-known public sur le site enregistré. Par exemple, si vous enregistrez https://example.com, placez le fichier d'attestation à l'emplacement https://example.com/.well-known/privacy-sandbox-attestations.json. Vous ne pouvez pas utiliser de redirections HTTP pour diffuser le fichier d'attestation. Le fichier d'attestation doit se trouver dans le répertoire .well-known de votre site. Il ne peut pas rediriger vers un autre emplacement (par exemple, un sous-domaine ou un autre site).

Vous devez respecter les attestations et conserver le fichier d'attestation en place pendant toute la durée de l'inscription. Les fichiers d'attestation sont régulièrement vérifiés, et l'échec prolongé de leur maintien en place entraînera l'échec des appels d'API jusqu'à ce qu'ils soient restaurés.

Remarques :

  • La Privacy Sandbox exécute une tâche côté serveur pour extraire le fichier d'attestation des technologies publicitaires enregistrées et créer une liste d'autorisation en fonction du contenu du fichier. Cette liste d'autorisation sera ensuite synchronisée avec le navigateur et l'OS. Cette tâche ne récupère le fichier qu'une fois par heure.
  • L'objectif est de rendre le fichier d'attestation accessible publiquement. La technologie publicitaire doit s'attendre à recevoir des requêtes de récupération de la part de tiers, y compris de chercheurs, de régulateurs et d'utilisateurs (en dehors des requêtes de récupération de l'infrastructure Privacy Sandbox). Les technologies publicitaires doivent diffuser le même fichier auprès d'eux que celui qu'elles diffusent auprès de Google.
  • Chaque appel d'API ne déclenche pas une requête de récupération du fichier d'attestation.

Pour les attestations Topics sur Android, les développeurs d'applications et de SDK doivent accepter l'attestation dans le formulaire d'inscription et n'ont pas besoin de placer de fichier d'attestation sur leur serveur, sauf s'ils utilisent d'autres API Privacy Sandbox.

Mettre à jour l'attestation pour ajouter d'autres API

Si vous décidez d'inclure plus d'API dans votre inscription par la suite, vous devrez mettre à jour votre inscription. Dans le cadre de ce processus, vous recevrez un fichier d'attestation mis à jour qui doit être mis à disposition à partir du chemin d'accès .well-known sur votre site avant que vous puissiez appeler les nouvelles API.

Mettre à jour vers la dernière version du fichier d'attestation

Toutes les entreprises inscrites doivent passer à la dernière version du fichier d'attestation qu'elles ont reçu de Google.
Les fichiers d'attestation n'expirent pas après une période donnée. De nouveaux fichiers d'attestation ou des fichiers mis à jour peuvent être fournis de temps en temps à mesure que le framework d'attestation évolue (par exemple, de nouvelles attestations spécifiques à l'API sont ajoutées, etc.).

Erreurs ponctuelles

L'accès ne sera coupé que si le serveur qui vérifie le fichier d'attestation ne parvient pas à le valider à plusieurs reprises. Une seule erreur ou un seul problème de diffusion ne suffisent pas à supprimer l'accès.

Pour en savoir plus, consultez GitHub sur les attestations.

Données du développeur Android

Les entités qui ont l'intention d'utiliser les API Privacy Sandbox sur Android reçoivent un ID de compte d'enregistrement, qui peut être inclus dans la configuration AdServices d'une application. Cela permet aux développeurs d'applications de contrôler précisément les technologies publicitaires avec lesquelles leur application ou leurs SDK interagissent.