Inscrire votre application à la Privacy Sandbox

Pour accéder aux API de mesure et de pertinence de la Privacy Sandbox sur Chrome et Android, les développeurs doivent s'inscrire à la Privacy Sandbox. Ces API incluent Attribution Reporting, Protected Audience, Topics, Private Aggregation et Shared Storage. L'inscription des développeurs fournit un mécanisme permettant de valider les entités qui appellent ces API, et de rassembler les données spécifiques aux développeurs nécessaires pour configurer et utiliser correctement les API de la Privacy Sandbox. Ce processus d'inscription ajoute une couche de protection supplémentaire aux restrictions structurelles appliquées dans chaque API, en apportant de la transparence sur les personnes qui collectent des données et en limitant les tentatives d'utilisation abusive des API pour collecter plus de données que prévu. Pour garantir une transparence vérifiable, les informations d'inscription de l'entreprise seront rendues publiques. Les entreprises doivent prévoir au moins cinq semaines pour terminer le processus d'inscription, à compter de la date d'envoi du formulaire d'inscription. Cela inclut le temps nécessaire pour résoudre les problèmes liés à l'envoi du formulaire ou à d'autres problèmes pouvant survenir. Ce délai n'inclut pas le temps de préparation interne dont les entreprises peuvent avoir besoin avant d'envoyer le formulaire.

Avant de commencer

Avant de commencer l'enregistrement, assurez-vous de disposer d'un numéro DUNS pour votre organisation. Il s'agit d'un numéro unique à neuf chiffres fourni par Dun & Bradstreet qui permet d'identifier votre entreprise. Il est vérifié lors du processus de validation de l'inscription à la Privacy Sandbox. Si votre entreprise a reçu plusieurs numéros DUNS, indiquez celui de niveau le plus élevé qui représente votre entité juridique globale. Si votre entreprise n'est pas une entité juridique, vous ne pouvez pas obtenir de numéro D-U-N-S.

Pour vérifier si votre entreprise dispose déjà d'un numéro DUNS ou pour en obtenir un nouveau, envoyez une demande à l'aide du formulaire d'inscription. Google propose à cet effet un processus de demande accéléré et sans frais auprès de Dun & Bradstreet. Une fois votre demande envoyée, nous vous enverrons un e-mail contenant un lien unique et à usage unique. Il vous permettra d'accéder à la page de destination Google pour envoyer les informations sur votre établissement. Si vous ne terminez pas d'envoyer vos informations, vous devrez demander une autre association à Google.

Obtenir un numéro D-U-N-S en tant que personne physique

Si vous êtes une personne physique et que vous n'êtes pas affilié à une organisation, ou si votre organisation ne peut pas obtenir de numéro D-U-N-S, vous pouvez vous inscrire en tant que personne physique sur le formulaire d'inscription. Toutes les informations (à l'exception des informations permettant d'identifier personnellement l'utilisateur) collectées lors de l'inscription des développeurs peuvent être incluses dans les rapports de la Privacy Sandbox. Ces rapports seront accessibles au public.

S'inscrire

Pour s'inscrire, les développeurs doivent remplir le formulaire d'inscription. Le formulaire demande les informations suivantes:

  • les coordonnées professionnelles.
  • Numéro DUNS de votre organisation
  • Les API que vous prévoyez d'utiliser et les informations de configuration des API

Les développeurs doivent également accepter des attestations sur leur utilisation des API Privacy Sandbox enregistrées.

Enregistrer votre site, votre SDK Android ou votre application Android

Lors de l'inscription, vous devez fournir un site ou un SDK (ou les deux) que vous utiliserez pour appeler les API.
La manière dont vous vous inscrivez dépend de la façon dont les API Privacy Sandbox sont appelées:

  • Si vous êtes développeur Web et que votre site appelle directement les API de la Privacy Sandbox, vous devez l'inscrire.
  • Si vous êtes un développeur de SDK Android, indiquez le nom de votre SDK lors de l'enregistrement. Si votre SDK utilise les API Attribution Reporting, Protected Audience ou les deux, indiquez également votre site lors de l'inscription. Les applications qui utilisent votre SDK n'ont pas besoin de s'inscrire séparément, sauf si elles appellent les API Privacy Sandbox directement à partir de leur propre code. Si vous testez immédiatement les API de création de rapports sur l'attribution sur Android à grande échelle, vous devez fournir toutes les origines que vous utilisez.
  • Si vous êtes développeur d'applications et que votre application appelle directement les API Attribution Reporting, Protected Audience ou les deux, vous devez indiquer votre site lors de l'enregistrement.
  • Si vous êtes développeur d'applications et que vous délégez entièrement la fonctionnalité d'annonces à un SDK, vous n'avez pas besoin de suivre la procédure d'inscription.

Chaque site ou SDK qui appelle les API de la Privacy Sandbox nécessite une inscription unique et doit être attesté individuellement. Les applications qui appellent directement les API Privacy Sandbox peuvent être incluses dans une seule inscription. Si vous prévoyez d'appeler plusieurs API, spécifiez-les toutes lors du processus d'inscription. Remarque: Le site avec lequel vous vous inscrivez est le même que celui qui sera utilisé pour récupérer les clés de chiffrement pour l'utilisation de Topics sur Android et la clé de signature pour votre utilisation de l'API Protected Audience sur Android. Pour en savoir plus sur le point de terminaison de chiffrement pour Topics sur Android et sur les clés de signature pour Protected Audience, consultez les pages suivantes.

Mettre à jour les informations d'inscription

Vous pouvez mettre à jour vos informations d'inscription à l'aide du formulaire d'inscription. Les mises à jour remplacent les réponses précédentes.

Calendrier d'inscription

Une fois votre formulaire d'inscription envoyé, nous l'examinerons et le traiterons. Une fois l'examen terminé, vous recevrez un e-mail de confirmation contenant un ID de compte d'inscription de développeur unique et un fichier d'attestation. Le fichier doit être rendu public à partir du chemin d'accès /.well-known sur le site pour lequel il a été enregistré dans les 30 jours suivant la réception de l'ID de compte et du fichier d'attestation. Les développeurs Android peuvent fournir l'ID d'inscription aux développeurs d'applications afin qu'ils puissent définir un contrôle d'accès précis. Pour en savoir plus, consultez la documentation Configurer les services publicitaires spécifiques à l'API d'Android. Remarque: Les examens d'inscription sont effectués une fois que le formulaire d'inscription a été correctement rempli dans son intégralité. En saisissant les informations correctes dans votre demande initiale et en répondant rapidement à toute question de l'équipe d'assistance technique de Google, vous accélérez le processus.

Inscription pour différents environnements de développement

Vos environnements de préproduction, bêta, contrôle qualité et test seront automatiquement inscrits s'ils utilisent le même site que votre environnement de production. Vous pouvez effectuer des tests en local sans passer par l'inscription. Pour les tests locaux, nous fournissons des forçages pour les développeurs à partir de Chrome 116 avec un indicateur Chrome et un commutateur CLI:

  • Indicateur: chrome://flags/#privacy-sandbox-enrollment-overrides
  • CLI: --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

Limites

Tenez compte des limites d'enregistrement des développeurs suivantes lorsque vous déterminez la structure d'enregistrement de votre organisation:

  • Un site ne peut être associé qu'à un seul abonnement.
  • Une inscription ne contient qu'un seul site.
  • Limites spécifiques au SDK :
    1. Une inscription peut contenir plusieurs SDK.
    2. Un SDK donné ne peut être associé qu'à un seul enregistrement.
  • Les inscriptions supplémentaires sont autorisées, mais elles doivent concerner des produits ou des secteurs d'activité indépendants clairement établis et vérifiables publiquement (c'est-à-dire qu'un site Web public correspondant doit expliquer le produit spécifique). Vous ne pouvez pas vous inscrire plusieurs fois pour le même produit. Les attestations s'appliquent à chaque inscription individuellement.
  • Avec l'enregistrement au niveau du site, un seul enregistrement peut couvrir un nombre illimité d'origines, à condition qu'elles soient du même site. Toutefois, la limite de débit d'une seule origine de création de rapports par source (Chrome, Android) signifie que vous êtes généralement limité à une seule origine par éditeur.

Plusieurs inscriptions pour une même entité

Les entités plus complexes qui proposent plusieurs produits uniques peuvent demander plusieurs inscriptions. Par exemple, si votre entreprise propose un SSP et une DSP, vous pouvez être éligible à plusieurs enregistrements.

Chaque produit doit disposer de sites distincts à partir desquels appeler les API. Vous devrez fournir une représentation publique pour chaque produit que vous demandez à enregistrer (par exemple, un lien vers un site Web public expliquant le produit).

Si vous souhaitez enregistrer plusieurs sites ou SDK, remplissez le formulaire de demande d'enregistrement multiple en plus d'envoyer le formulaire d'enregistrement normal pour le premier enregistrement que vous demandez. Une fois la demande envoyée, elle sera examinée. Vous recevrez un e-mail une fois l'examen terminé.

Envoyer plusieurs inscriptions avec le même numéro D-U-N-S

Si vous demandez plusieurs inscriptions à l'aide du formulaire de demande d'inscription multiple, vous pouvez utiliser le même numéro DUNS pour chaque inscription.

Rediriger avec les rapports sur l'attribution

Imaginons que le site A ne soit pas inscrit, mais que le site B l'ait été. ARA envoie des requêtes ping aux URL de redirection, même si elles ne sont pas enregistrées. Par conséquent, la redirection de siteA.com vers siteB.com fonctionnera. Toutefois, les sources et les déclencheurs ne seront enregistrés que depuis les technologies publicitaires enregistrées.

S'inscrire au service d'agrégation

Il existe actuellement un processus d'inscription distinct pour les éléments du serveur et les API client (pour Chrome et Android). Vous devez remplir les deux formulaires d'inscription pour utiliser le service d'agrégation. Nous souhaitons simplifier les processus. Pour le moment, le service d'agrégation dispose d'un formulaire distinct. Lors de l'inscription au service d'agrégation, vous devez vous inscrire avec un site qui doit être le même (schéma, eTLD+1) que celui enregistré via l'inscription en tant que développeur.

Chaque inscription au service d'agrégation doit inclure l'ID du compte AWS ou le compte de service GCP dans lequel le service d'agrégation sera déployé. Les technologies publicitaires peuvent associer plusieurs sites à un compte ou plusieurs comptes à un site pour différents besoins de test, d'exploitation et d'efficacité.

Importer votre fichier d'attestation

Une fois que vous vous serez inscrit et que vous aurez réussi le processus de validation, nous vous enverrons un fichier contenant les attestations spécifiques à l'API à l'adresse e-mail que vous avez fournie. Vous disposez d'un délai d'implémentation de 30 jours à compter de la réception de l'ID de compte et du fichier d'attestation pour finaliser l'emplacement de votre fichier d'attestation. Vous pourrez toujours appeler les API pendant 30 jours, mais vous devrez respecter le libellé de l'attestation pendant cette période.

Pour finaliser l'enregistrement, vous devez rendre le fichier disponible à partir du chemin d'accès public .well-known sur le site enregistré. Par exemple, si vous enregistrez https://example.com, placez le fichier d'attestation dans https://example.com/.well-known/privacy-sandbox-attestations.json. Vous ne pouvez pas utiliser de redirections HTTP pour diffuser le fichier d'attestation. Le fichier d'attestation doit se trouver dans le répertoire .well-known de votre site. Il ne peut pas rediriger vers un autre emplacement (par exemple, un sous-domaine ou un autre site).

Vous devez respecter les attestations et conserver le fichier d'attestation pendant toute la durée de l'inscription. Les fichiers d'attestation sont régulièrement vérifiés. Si vous ne parvenez pas à les conserver, les appels d'API échoueront jusqu'à ce que le fichier soit restauré.

Remarques :

  • La Privacy Sandbox exécute une tâche côté serveur pour extraire le fichier d'attestation des technologies publicitaires enregistrées et créer une liste d'autorisation en fonction du contenu du fichier. Cette liste d'autorisation sera ensuite synchronisée avec le navigateur et l'OS. Cette tâche ne récupère le fichier qu'une fois par heure.
  • L'objectif est que le fichier d'attestation soit disponible publiquement. La technologie publicitaire doit s'attendre à recevoir des requêtes de récupération de la part de tiers, y compris de chercheurs, de régulateurs et d'utilisateurs (en dehors des requêtes de récupération de l'infrastructure Privacy Sandbox). Les technologies publicitaires doivent diffuser le même fichier auprès d'eux que celui qu'elles diffusent auprès de Google.
  • Chaque appel d'API ne déclenche pas une requête de récupération du fichier d'attestation.

Pour les attestations Topics sur Android, les développeurs d'applications et de SDK doivent accepter l'attestation dans le formulaire d'inscription et n'ont pas besoin de placer de fichier d'attestation sur leur serveur, sauf s'ils utilisent d'autres API Privacy Sandbox.

Mettre à jour l'attestation pour ajouter d'autres API

Si vous décidez d'inclure d'autres API dans votre inscription ultérieurement, vous devrez la mettre à jour. Dans le cadre de ce processus, vous recevrez un fichier d'attestation mis à jour qui doit être mis à disposition à partir du chemin d'accès .well-known sur votre site avant que vous puissiez appeler les nouvelles API.

Mettre à jour vers la dernière version du fichier d'attestation

Toutes les entreprises inscrites doivent passer à la dernière version du fichier d'attestation qu'elles ont reçu de Google.
Les fichiers d'attestation n'expirent pas au bout d'un certain temps. De nouveaux fichiers d'attestation ou des fichiers mis à jour peuvent être fournis de temps en temps à mesure que le framework d'attestation évolue (par exemple, de nouvelles attestations spécifiques à l'API sont ajoutées, etc.).

Erreurs ponctuelles

L'accès ne sera coupé que si le serveur qui vérifie le fichier d'attestation ne parvient pas à le valider à plusieurs reprises. Une seule erreur ou un seul problème de diffusion ne suffisent pas à supprimer l'accès.

Pour en savoir plus, consultez GitHub sur les attestations.

Données pour les développeurs Android

Les entités qui souhaitent utiliser les API Privacy Sandbox sur Android reçoivent un ID de compte d'inscription, qui peut être inclus dans la configuration AdServices d'une application. Cela permet aux développeurs d'applications de contrôler précisément les technologies publicitaires avec lesquelles leur application ou leurs SDK interagissent.