Inscrire votre application à la Privacy Sandbox

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Pour accéder aux API de mesure et de pertinence de la Privacy Sandbox sur Chrome et Android, les développeurs doivent s'inscrire à la Privacy Sandbox. Ces API incluent Attribution Reporting, Protected Audience, Topics, Private Aggregation et Shared Storage. L'inscription des développeurs vérifie les entités qui appellent ces API et rassemble les données nécessaires pour les configurer et les utiliser correctement. L'inscription ajoute une couche supplémentaire de protection et de transparence sur les personnes qui collectent des données, et limite les tentatives d'utilisation abusive des API pour collecter des données non essentielles. Pour garantir une transparence vérifiable, les informations d'inscription de l'entreprise sont rendues publiques. Les entreprises doivent prévoir au moins cinq semaines pour terminer le processus d'inscription. Cela inclut le temps nécessaire pour résoudre les problèmes inattendus liés à l'envoi dans la console ou à d'autres problèmes qui peuvent survenir. Ce délai n'inclut pas le temps de préparation interne dont les entreprises peuvent avoir besoin avant d'envoyer le formulaire.

Avant de commencer

Avant de commencer l'inscription, créez un compte à l'aide de la console Privacy Sandbox. Découvrez comment créer un compte.

S'inscrire

Pour s'inscrire, les développeurs doivent utiliser la console Privacy Sandbox. Vous devez fournir les informations suivantes:

• Informations sur votre entreprise
  • y compris une adresse e-mail de contact et des liens vers vos règles de confidentialité ;
• Les API et services que vous prévoyez d'utiliser
  • Certains services nécessitent des informations supplémentaires, telles que des informations sur votre fournisseur de services cloud.
• Site ou nom des SDK que vous souhaitez enregistrer
  • C'est à partir de là que vous appellerez les API.
• Attestations sur votre utilisation des API
  • Si vous enregistrez un site, vous devez importer un fichier d'attestation sur votre serveur.

Enregistrer votre site, votre SDK Android ou votre application Android

Lors de l'inscription, vous devez fournir un site ou un SDK (ou les deux) que vous utiliserez pour appeler les API.
La manière dont vous vous inscrivez dépend de la façon dont les API Privacy Sandbox sont appelées:

• Si vous êtes développeur Web et que votre site appelle directement les API de la Privacy Sandbox, vous devez l'inscrire.
• Si vous êtes un développeur de SDK Android, indiquez le nom de votre SDK lors de l'enregistrement. Si votre SDK utilise les API Attribution Reporting, Protected Audience ou les deux, indiquez également votre site lors de l'inscription. Les applications qui utilisent votre SDK n'ont pas besoin de s'inscrire séparément, sauf si elles appellent les API Privacy Sandbox directement à partir de leur propre code. Si vous testez immédiatement les API de création de rapports sur l'attribution sur Android à grande échelle, vous devez fournir toutes les origines que vous utilisez.
• Si vous êtes développeur d'applications et que votre application appelle directement les API Attribution Reporting, Protected Audience ou les deux, vous devez indiquer votre site lors de l'enregistrement.
• Si vous êtes développeur d'applications et que vous délégez entièrement la fonctionnalité d'annonces à un SDK, vous n'avez pas besoin de suivre la procédure d'inscription.

Chaque site ou SDK qui appelle les API de la Privacy Sandbox nécessite une inscription unique et doit être attesté individuellement. Les applications qui appellent directement les API Privacy Sandbox peuvent être incluses dans une seule inscription. Si vous prévoyez d'appeler plusieurs API, spécifiez-les toutes lors du processus d'inscription. Remarque: Le site avec lequel vous vous inscrivez est le même que celui qui sera utilisé pour récupérer les clés de chiffrement pour l'utilisation de Topics sur Android et la clé de signature pour votre utilisation de l'API Protected Audience sur Android. Pour en savoir plus sur le point de terminaison de chiffrement pour Topics sur Android et sur les clés de signature pour Protected Audience, consultez les pages suivantes.

Mettre à jour les informations d'inscription

Vous pourrez modifier les informations de votre inscription dans la console une fois la procédure terminée. Votre inscription existante restera active pendant l'examen de vos modifications.

Si l'une des informations suivantes change, vous devrez importer une nouvelle version de votre fichier d'attestation:

• Liens vers les règles de confidentialité
• Informations sur le site
• API sélectionnées

État de l'inscription

Une fois votre inscription envoyée, vous pouvez voir les étapes suivantes:

• Examen
  • Nous examinons votre inscription. Aucune action n'est requise.
• Configurer le fichier d'attestation
  • Votre inscription a été approuvée. Pour les sites, un fichier d'attestation doit être configuré dans les 30 jours.
• Inscription terminée
  • Vous avez bien enregistré et configuré votre fichier d'attestation (le cas échéant). Aucune action supplémentaire n'est requise.
• Erreurs liées aux fichiers d'attestation
  • Le fichier d'attestation ne se trouve pas au bon endroit
    • Nous n'avons pas pu trouver votre fichier d'attestation pour votre site dans le délai de 30 jours.
  • Enregistrement suspendu
    • Le fichier d'attestation n'a pas été correctement configuré dans le délai initial de 30 jours ou n'est plus disponible après une inscription réussie. Pour en savoir plus, veuillez contacter privacy-sandbox-enrollment@google.com.

Calendrier d'inscription

Une fois votre inscription envoyée, nous l'examinerons et la traiterons. Une fois l'examen terminé, vous recevrez une confirmation dans la console et pourrez accéder à votre fichier d'attestation pour le configurer. Le fichier doit être rendu public à partir du chemin d'accès /.well-known sur le site pour lequel il a été enregistré dans les 30 jours suivant l'approbation de l'enregistrement. Les développeurs Android peuvent fournir l'ID d'inscription aux développeurs d'applications afin qu'ils puissent définir un contrôle d'accès précis. Pour en savoir plus, consultez la documentation Configurer les services publicitaires spécifiques à l'API d'Android. Remarque: En saisissant les informations correctes dans votre demande initiale et en répondant rapidement à toute question de l'équipe d'assistance technique de Google, vous accélérez le processus.

Inscription pour différents environnements de développement

Vos environnements de préproduction, bêta, contrôle qualité et test seront automatiquement inscrits s'ils utilisent le même site que votre environnement de production. Vous pouvez effectuer des tests en local sans passer par l'inscription. Pour les tests locaux, nous fournissons des forçages pour les développeurs à partir de Chrome 116 avec un indicateur Chrome et un commutateur CLI:

• Indicateur: chrome://flags/#privacy-sandbox-enrollment-overrides
• CLI: --privacy-sandbox-enrollment-overrides=https://example.com,https://example.co.uk,...

Limites

Tenez compte des limites d'enregistrement des développeurs suivantes lorsque vous déterminez la structure d'enregistrement de votre organisation:

• Un site ne peut être associé qu'à une seule inscription.
• Une inscription ne contient qu'un seul site.
• Limites spécifiques au SDK :
  1. Une inscription peut contenir plusieurs SDK.
  2. Un SDK donné ne peut être associé qu'à un seul enregistrement.
• Les inscriptions supplémentaires sont autorisées, mais elles doivent concerner des produits ou des secteurs d'activité indépendants clairement établis et vérifiables publiquement (c'est-à-dire qu'un site Web public correspondant doit expliquer le produit spécifique). Vous ne pouvez pas vous inscrire plusieurs fois pour le même produit. Les attestations s'appliquent à chaque inscription individuellement.
• Avec l'enregistrement au niveau du site, un seul enregistrement peut couvrir un nombre illimité d'origines, à condition qu'elles soient du même site. Toutefois, la limite de taux d'une seule origine de création de rapports par source (Chrome, Android) signifie que vous êtes généralement limité à une seule origine par éditeur.

Plusieurs inscriptions pour une même entité

Les entités plus complexes qui proposent plusieurs produits uniques peuvent demander plusieurs inscriptions. Par exemple, si votre entreprise propose un SSP et une DSP, vous pouvez être éligible à plusieurs enregistrements.

Chaque produit doit disposer de sites distincts à partir desquels appeler les API. Vous devrez fournir une représentation publique pour chaque produit que vous demandez à enregistrer (par exemple, un lien vers un site Web public expliquant le produit).

Si vous souhaitez enregistrer plusieurs sites ou SDK, accédez à l'onglet "Enregistrements" dans la navigation de la console. Une fois votre premier enregistrement approuvé, vous pouvez sélectionner "Demander des enregistrements" pour en demander d'autres. Une fois la demande envoyée, elle sera examinée. Vous recevrez un e-mail et l'état sera mis à jour dans la console une fois l'examen terminé.

Rediriger avec les rapports sur l'attribution

Imaginons que le site A ne soit pas inscrit, mais que le site B l'ait été. ARA envoie des requêtes ping aux URL de redirection, même si elles ne sont pas enregistrées. Par conséquent, la redirection de siteA.com vers siteB.com fonctionnera. Toutefois, les sources et les déclencheurs ne seront enregistrés que depuis les technologies publicitaires enregistrées.

S'inscrire au service d'agrégation

L'enregistrement du service d'agrégation fait partie du processus d'enregistrement de la console. Chaque inscription au service d'agrégation doit inclure l'ID de compte AWS ou le compte de service Google Cloud dans lequel le service d'agrégation sera déployé. Les technologies publicitaires permettent d'associer plusieurs sites à un même compte ou plusieurs comptes à un même site pour différents besoins en termes de test, d'opérations et d'efficacité.

Importer votre fichier d'attestation

Une fois que vous vous êtes inscrit et que vous avez réussi le processus de validation, vous pouvez accéder à votre fichier d'attestation dans la console. Vous disposez d'un délai d'implémentation de 30 jours à compter de la réception du fichier d'attestation pour finaliser son emplacement. Pendant cette période, vous pouvez toujours appeler les API pendant 30 jours. Toutefois, vous ne devez pas vous inscrire si vous ne pouvez pas respecter le libellé de l'attestation pendant la période d'implémentation de 30 jours.

Pour finaliser l'enregistrement, rendez le fichier disponible à partir du chemin d'accès public .well-known sur le site enregistré. Par exemple, si vous enregistrez https://example.com, placez le fichier d'attestation dans https://example.com/.well-known/privacy-sandbox-attestations.json. Vous pouvez également utiliser des redirections HTTP uniquement vers les sous-domaines de votre site enregistré pour diffuser le fichier d'attestation.

Vous devez respecter les attestations et conserver le fichier d'attestation pendant toute la durée de l'inscription. Les fichiers d'attestation sont régulièrement vérifiés. Si vous ne parvenez pas à les conserver, les appels d'API échoueront jusqu'à ce que le fichier soit restauré.

Remarques :

• La Privacy Sandbox extrait le fichier d'attestation des technologies publicitaires enregistrées. Cette tâche ne récupère le fichier qu'une fois par heure. Les appels d'API ne déclenchent pas de requête de récupération du fichier d'attestation.
• L'objectif est que le fichier d'attestation soit disponible publiquement. La technologie publicitaire doit s'attendre à recevoir des requêtes de récupération de la part de tiers, y compris de chercheurs, de régulateurs et d'utilisateurs (en dehors des requêtes de récupération de l'infrastructure Privacy Sandbox). Les technologies publicitaires doivent diffuser le même fichier auprès d'eux que celui qu'elles diffusent auprès de Google.

Pour les attestations Topics sur Android, les développeurs d'applications et de SDK doivent accepter l'attestation dans le formulaire d'inscription de la console. Ils n'ont pas besoin de placer de fichier d'attestation sur leur serveur, sauf s'ils utilisent d'autres API Privacy Sandbox.

Mettre à jour l'attestation pour ajouter d'autres API

Si vous décidez d'inclure d'autres API dans votre inscription ultérieurement, vous devrez la mettre à jour. Dans le cadre de ce processus, vous recevrez un fichier d'attestation mis à jour qui doit être mis à disposition à partir du chemin d'accès .well-known sur votre site avant que vous puissiez appeler les nouvelles API.

Mettre à jour vers la dernière version du fichier d'attestation

Toutes les entreprises inscrites doivent passer à la dernière version du fichier d'attestation qu'elles ont reçu de Google.
Les fichiers d'attestation n'expirent pas au bout d'un certain temps. De nouveaux fichiers d'attestation ou des fichiers mis à jour peuvent être fournis de temps en temps à mesure que le framework d'attestation évolue (par exemple, de nouvelles attestations spécifiques à l'API sont ajoutées).

Échecs de validation des attestations

L'accès ne sera coupé que si le serveur qui vérifie le fichier d'attestation ne parvient pas à le valider à plusieurs reprises. Une seule erreur ou un seul problème de diffusion ne conduit pas à la suspension de l'accès.

Pour en savoir plus, consultez GitHub sur les attestations.

Données pour les développeurs Android

Les entités qui souhaitent utiliser les API Privacy Sandbox sur Android peuvent accéder à leur ID d'enregistrement via l'interface utilisateur de la console, qui peut être inclus dans la configuration AdServices d'une application. Cela permet aux développeurs d'applications de contrôler précisément les technologies publicitaires avec lesquelles leur application ou leurs SDK interagissent.