Les API de mesure et de pertinence de la Privacy Sandbox, ainsi que les commandes utilisateur mises à jour, sont désormais disponibles pour tous les utilisateurs de Chrome. Les participants à l'écosystème ont posé des questions sur l'approche de Chrome concernant la conformité à la Privacy Sandbox en matière de confidentialité, ainsi que sur leurs propres responsabilités. Nous ne sommes pas en mesure de vous fournir de conseils juridiques, mais nous pouvons partager nos réponses aux questions fréquentes et donner des informations sur les API susceptibles d'aider les personnes devant prendre des décisions liées à la protection de la confidentialité.
Questions et réponses
Les sites et les autres appelants des API de mesure et de pertinence de la Privacy Sandbox ont-ils des obligations en matière de confidentialité ?
Les lois sur la confidentialité et les communications électroniques dans l'Espace économique européen (EEE) et au Royaume-Uni exigent le consentement pour stocker ou accéder aux données sur et depuis le navigateur d'un utilisateur, sauf si cela est strictement nécessaire. Elles ne font pas la distinction entre les anciennes technologies telles que les cookies tiers et les technologies de protection de la confidentialité émergentes telles que les API Privacy Sandbox.
L'utilisation de chacune des API Privacy Sandbox implique d'accéder aux données stockées sur l'appareil de l'utilisateur.
Pour information, les entreprises peuvent voir comment les propres services publicitaires de Google, qui fonctionnent indépendamment de Chrome, intègrent les technologies de la Privacy Sandbox dans le cadre de leurs Règles relatives au consentement des utilisateurs dans l'UE.
Les sites et les appelants d'API peuvent-ils s'appuyer sur des exceptions aux exigences de consentement en vertu de la loi ePrivacy ?
Les exceptions aux exigences de consentement dans les lois sur la vie privée et les communications électroniques sont limitées et généralement réservées aux cas d'utilisation "strictement nécessaires" à la fourniture d'un service en ligne explicitement demandé par l'utilisateur. D'après nos informations, l'utilisation des API Privacy Sandbox à des fins de publicité ciblée par centres d'intérêt n'est pas exemptée de l'obtention du consentement.
Nous ne prévoyons que de considérer un petit sous-ensemble de cas d'utilisation comme strictement nécessaires, par exemple en utilisant l'API Private State Tokens pour la sécurité des comptes ou la prévention du spam, ou en utilisant l'API Federated Credential Management à des fins d'authentification. L'utilisation de ces API à d'autres fins nécessiterait une analyse distincte et probablement le consentement de l'utilisateur. Il vous incombe de déterminer si votre cas d'utilisation particulier est exempté, en tenant compte des réglementations locales et des consignes réglementaires en matière de protection des données, le cas échéant. Même si vous concluez que votre cas d'utilisation est exempté des exigences de la directive ePrivacy, vous devez toujours fournir aux utilisateurs des informations claires sur votre utilisation des API conformément aux lois européennes sur la protection des données.
Dois-je informer les utilisateurs lorsque j'utilise les API de la Privacy Sandbox ?
Chaque fois que vous utilisez les API Privacy Sandbox, vous devez vous assurer d'être juste et transparent à ce sujet. La transparence et l'équité sont particulièrement importantes si vous utilisez les API de la Privacy Sandbox pour identifier les centres d'intérêt d'une audience ou d'un individu spécifique, en particulier pour influencer leur comportement. Les utilisateurs ne comprennent pas toujours comment leurs informations ont été utilisées de cette manière. Vous devrez peut-être prendre des mesures supplémentaires pour les en informer. Des exigences d'informations spécifiques s'appliquent chaque fois que vous demandez aux utilisateurs de donner leur autorisation pour votre utilisation des API. Toutefois, même si votre cas d'utilisation est exempté des exigences de consentement (par exemple, parce qu'il est strictement nécessaire de fournir un service demandé par l'utilisateur), vous devez toujours fournir aux utilisateurs des informations claires sur votre utilisation des API.
Comment obtenir le consentement de l'utilisateur final pour les API Privacy Sandbox ?
L'utilisation de chacune des API Privacy Sandbox implique d'accéder aux données stockées sur l'appareil de l'utilisateur. Les lois sur la confidentialité et la protection des données vous obligent à obtenir le consentement de l'utilisateur final avant d'accéder à ces données, tout comme vous avez besoin du consentement pour les cookies. Nous nous attendons à ce que la plupart des entreprises s'appuient sur des plates-formes de gestion du consentement pour obtenir le consentement pour les API, comme elles le font aujourd'hui pour les cookies. Il est de votre responsabilité d'obtenir le consentement pour votre propre accès et utilisation des API Sandbox, y compris Topics. Il ne suffit pas que l'utilisateur ait accepté d'activer Topics sur son appareil: vous devez obtenir son propre consentement, spécifique à vos activités. Lorsque vous demandez le consentement, vous devez indiquer clairement comment vous utiliserez les API. Il est particulièrement important de mettre en avant toute utilisation de thèmes (ou des autres API) à des fins non publicitaires, car les utilisateurs ne s'y attendent peut-être pas. Vous devez également vous assurer que les utilisateurs finaux peuvent révoquer leur consentement facilement et à tout moment.
Les utilisateurs peuvent-ils retirer leur consentement ou contrôler d'une autre manière les API de mesure et de pertinence de la Privacy Sandbox ?
Oui. Les utilisateurs peuvent accéder à chrome://settings/adPrivacy, qui fournit des commandes individuelles et précises pour désactiver les API Privacy Sandbox, bloquer des thèmes individuels et empêcher des sites spécifiques de définir des groupes de centres d'intérêt. Les utilisateurs peuvent supprimer les données de mesure des performances des annonces en supprimant les données de navigation.
Les sites devront déterminer les choix qu'ils proposent aux utilisateurs, la manière dont ces préférences sont stockées, la manière dont les préférences d'un utilisateur sont signalées aux fournisseurs de technologie publicitaire du site qui peuvent appeler les API Privacy Sandbox, et la manière dont ces fournisseurs sont tenus responsables. Les sites et leurs fournisseurs devront déterminer ce que signifie le choix d'un utilisateur en termes d'utilisation ou non d'une API Privacy Sandbox, et de la manière dont elle est utilisée.
Certains programmes d'autorégulation basés sur l'acceptation, comme AdChoices, reposent sur des cookies tiers. Nous vous encourageons à demander à ces programmes comment ils se préparent à l'abandon des cookies tiers.
Les choix des utilisateurs concernant la Privacy Sandbox peuvent-ils être conservés sur plusieurs sites ?
Les utilisateurs peuvent accéder à chrome://settings/adPrivacy, qui permet de désactiver complètement les API Privacy Sandbox ou de bloquer des thèmes individuels. Les utilisateurs peuvent supprimer les données de mesure des performances des annonces en supprimant les données de navigation.
Les sites devront déterminer s'ils s'engagent à étendre les choix des utilisateurs exprimés sur leurs propres sites au reste du Web. Certains programmes d'autorégulation basés sur l'acceptation, comme AdChoices, visent à offrir aux utilisateurs des choix sur la manière dont les entreprises de technologie publicitaire traitent les données utilisateur sur les sites (par exemple, la publicité basée sur les centres d'intérêt). Traditionnellement, ces programmes sont spécifiques aux entreprises de technologie publicitaire qui choisissent d'y participer, et non aux sites. Nous vous encourageons à demander à ces programmes comment ils se préparent à l'abandon des cookies tiers.
Les utilisateurs peuvent-ils supprimer les données liées aux API de mesure et de pertinence de la Privacy Sandbox ?
Les utilisateurs peuvent accéder à chrome://settings/adPrivacy, qui fournit des commandes individuelles et précises pour désactiver les API Privacy Sandbox, bloquer des thèmes individuels et empêcher des sites spécifiques de définir des groupes de centres d'intérêt. Les utilisateurs peuvent supprimer les données de mesure des performances des annonces en supprimant les données de navigation. De plus, Chrome supprime automatiquement les thèmes qui intéressent les utilisateurs, les groupes de centres d'intérêt et les événements de création de rapports après une période définie.
Pour les sites et les autres appelants d'API de pertinence et de mesure de la Privacy Sandbox, les fonctions techniques suivantes sont disponibles:
- Pour Protected Audience, un site ou sa technologie publicitaire pouvant ajouter des groupes de centres d'intérêt à partir de ce site peut également appeler la fonction
leaveAdInterestGroup. - Pour le stockage partagé, un site ou sa technologie publicitaire peut appeler la méthode
deletesur une clé ou la méthodeclearpour effacer toutes les clés. - Pour l'API Attribution Reporting, un site ou sa technologie publicitaire peut utiliser l'en-tête
Clear-Site-Data.
Les sites et les autres appelants d'API devront déterminer si leurs mécanismes actuels pour les droits de suppression sont adaptés s'ils ont choisi de stocker des données récupérées à partir des API Privacy Sandbox ou des données liées à l'appel des API.
Comment la Privacy Sandbox aborde-t-elle la conformité en matière de confidentialité dans Chrome ?
Dans le cas de Topics, il s'agit d'une nouvelle expérience pour les utilisateurs de Chrome. Chrome a donc souhaité leur offrir un moment distinct pour qu'ils puissent découvrir et choisir ce qui leur convient le mieux. Topics est une nouvelle façon pour Chrome d'activer des expériences pertinentes en fonction de l'historique de navigation de l'utilisateur. Chrome a décidé de demander le consentement des utilisateurs situés au Royaume-Uni/EEE et en Suisse avant d'activer l'API.
Les API Protected Audience et de mesure représentent des versions plus privées des comportements de traitement existants, à la fois dans le navigateur et dans des environnements protégés et fiables. Dans l'ensemble, tous les utilisateurs bénéficieront de commandes fiables et pourront désactiver à tout moment l'expérience Privacy Sandbox.
Pour en savoir plus sur les commandes des annonces de la Privacy Sandbox, consultez notre Centre d'aide.
Plus d'informations sur l'API
En savoir plus sur les API de mesure et de pertinence de la Privacy Sandbox:
- Topics : génère des signaux pour la publicité ciblée par centres d'intérêt sans cookies tiers ni autres identifiants utilisateur qui suivent les individus sur plusieurs sites.
- Protected Audience : sélectionnez des annonces pour diffuser des cas d'utilisation de remarketing et d'audience personnalisée, conçus pour atténuer le suivi tiers sur les sites.
- Attribution Reporting : permet de corréler les clics ou les vues d'annonces avec les conversions. Les technologies publicitaires peuvent générer des rapports au niveau des événements ou des rapports récapitulatifs.
- Agrégation privée : générez des rapports de données agrégées à l'aide des données de l'API Protected Audience et des données intersites de Shared Storage.
- Stockage partagé : autorisez un accès en écriture illimité et intersites au stockage avec un accès en lecture protégeant la confidentialité.
- Cadres clôturés : insérez de manière sécurisée du contenu sur une page sans partager de données intersites.