Exploration de la Privacy Sandbox

La Privacy Sandbox est une série de propositions visant à répondre aux cas d'utilisation tiers sans cookies tiers ni autres mécanismes de suivi.

Résumé

• Cet article décrit les API et les concepts des propositions de la Privacy Sandbox.
• Les auteurs de la proposition invitent les membres de la communauté, en particulier ceux du secteur publicitaire (éditeurs, annonceurs et entreprises de technologie publicitaire) à vous suggérer les cas d'utilisation manquants et à partager des informations sur la façon d'assister vos cas d'utilisation métier.
• Vous pouvez commenter les propositions en signalant les problèmes dans les dépôts dont le lien figure ci-dessous.
• Vous trouverez un glossaire pour les propositions à la fin de cet article.

---

État actuel de la confidentialité sur le Web

Les sites Web utilisent les services d'autres entreprises pour fournir des données analytiques, diffuser des vidéos et bien d'autres choses utiles. La composabilité est l'un des super pouvoirs du Web. Plus particulièrement, les annonces sont incluses dans les pages Web via des tags iFrame et JavaScript tiers. Le suivi des visionnages, des clics et des conversions est effectué à l'aide de scripts et de cookies tiers.

Cependant, lorsque vous consultez un site Web, vous n'êtes pas forcément au courant des tiers impliqués et de ce qu'ils font avec vos données. Même les éditeurs et les développeurs Web peuvent ne pas comprendre l'ensemble de la chaîne d'approvisionnement tierce.

Actuellement, la sélection des annonces, la mesure des conversions et d'autres cas d'utilisation reposent sur l'établissement d'une identité utilisateur stable sur plusieurs sites. Auparavant, cela se faisait avec les cookies tiers, mais les navigateurs ont commencé à restreindre l'accès à ces cookies. Nous avons également constaté une augmentation de l'utilisation d'autres mécanismes pour le suivi intersites des utilisateurs, comme le stockage dissimulé sur un navigateur, le fingerprinting des appareils et les demandes d'informations personnelles telles que les adresses e-mail.

C'est un dilemme pour le Web. Comment répondre aux cas d'utilisation légitimes de tiers sans permettre le suivi des utilisateurs d'un site à l'autre ?

Plus précisément, comment les sites Web peuvent-ils financer le contenu en permettant à des tiers de diffuser des annonces et d'en mesurer les performances, sans toutefois permettre le profilage des utilisateurs individuels ? Comment les annonceurs et les propriétaires de sites peuvent-ils évaluer l'authenticité d'un utilisateur sans avoir recours à des schémas sombres tels que le fingerprinting des appareils ?

Le fonctionnement actuel peut être problématique pour l'ensemble de l'écosystème Web, pas seulement pour les utilisateurs. Pour les éditeurs et les annonceurs, le suivi des identités et l'utilisation de diverses solutions tierces non standards peuvent augmenter les contraintes techniques, la complexité du code et les risques liés aux données. Les utilisateurs, les développeurs, les éditeurs et les annonceurs doivent avoir l'assurance que le Web protège les choix des utilisateurs en termes de confidentialité.

La publicité est un modèle économique essentiel pour Internet sur Internet, mais elle doit convenir à tout le monde. Ce qui nous amène à la mission de la Privacy Sandbox: créer un écosystème Web florissant, respectueux des utilisateurs et respectueux de la confidentialité par défaut.

Présentation de la Privacy Sandbox

La Privacy Sandbox introduit un ensemble d'API protégeant la confidentialité pour soutenir les modèles économiques qui financent le Web ouvert en l'absence de mécanismes de suivi tels que les cookies tiers.

Les API Privacy Sandbox nécessitent que les navigateurs Web assument un nouveau rôle. Plutôt que d'utiliser des outils et des protections limités, les API permettent au navigateur de l'utilisateur d'agir en son nom, en local et sur son appareil, afin de protéger les informations permettant de l'identifier lorsqu'il navigue sur le Web. Les API permettent des cas d'utilisation tels que la sélection des annonces et la mesure des conversions, sans révéler d'informations privées et personnelles individuelles. En termes d'ingénierie, un bac à sable est un environnement protégé. L'un des principes clés de la Privacy Sandbox est que les informations personnelles d'un utilisateur doivent être protégées et non partagées de manière à permettre l'identification de celui-ci sur plusieurs sites.

C'est un changement de cap pour les navigateurs. La vision de l'avenir de la Privacy Sandbox : les navigateurs fournissant des outils spécifiques pour répondre à des cas d'utilisation spécifiques, tout en préservant la confidentialité des utilisateurs. Un modèle de confidentialité potentiel pour le Web décrit les principes fondamentaux sur lesquels reposent les API:

• Établir l'éventail d'activités Web à travers lequel le navigateur de l'utilisateur peut permettre aux sites Web de traiter une personne comme ayant une seule identité.
• Identifier comment les informations peuvent dépasser les frontières de l'identité sans compromettre cette séparation.

Les propositions de la Privacy Sandbox

L'initiative Privacy Sandbox a besoin de votre soutien pour abandonner les cookies tiers. Les explicateurs de la proposition ont besoin des commentaires de développeurs, d'éditeurs, d'annonceurs et d'entreprises de technologie publicitaire pour suggérer les cas d'utilisation manquants et partager des informations sur la manière d'atteindre leurs objectifs dans le respect de la confidentialité.

Vous pouvez commenter les explications de la proposition en signalant des problèmes dans chaque référentiel:

• Modèle de confidentialité pour le Web
  Établissez l'éventail d'activités Web à travers lequel le navigateur de l'utilisateur peut permettre aux sites Web de traiter une personne comme ayant une seule identité. Identifier comment les informations peuvent franchir les frontières liées aux identités sans compromettre cette séparation.
• Privacy Budget
  Limitez la quantité totale de données potentiellement identifiables auxquelles les sites peuvent accéder. Mettre à jour les API pour réduire la quantité de données potentiellement identifiables révélées Mesurez l’accès à des données potentiellement identifiables.
• Gnatcatcher
  limiter la capacité d'identifier des utilisateurs individuels en accédant à leur adresse IP ;
• API Trust Token
  Activez une origine qui fait confiance à un utilisateur pour lui émettre des jetons cryptographiques, qui sont stockés par le navigateur de l'utilisateur afin qu'ils puissent être utilisés dans d'autres contextes pour évaluer l'authenticité de l'utilisateur.
• Ensembles internes
  Autoriser les noms de domaine associés appartenant à la même entité à se déclarer comme appartenant à la même partie propriétaire.
• Rapports agrégés
  Proposez des mécanismes protégeant la confidentialité pour répondre à différents cas d'utilisation, comme la mesure des conversions après affichage, de la marque, de l'impact et de la couverture.
• Attribution Reporting
  Fournissez des mesures des clics et des vues tout en préservant la confidentialité grâce à des rapports globaux et au niveau des événements.
• API Topics
  Activer la publicité ciblée par centres d'intérêt, sans avoir à effectuer le suivi des sites consultés par l'internaute La conception de l'API s'appuie sur les commentaires de la communauté lors de nos précédents essais FLoC et remplace la proposition FLoC.
• FLEDGE
  Fournit une solution pour les cas d'utilisation du remarketing, conçue pour empêcher des tiers de suivre le comportement de navigation des utilisateurs sur les sites.

Vous pouvez tout de suite lire les explications de la proposition d'API. Au cours des prochains mois, nous publierons des posts individuels pour chaque proposition.

Nous ajouterons également à notre playlist de vidéos de cinq minutes une explication simple de chaque API.

Cas d'utilisation et objectifs

Mesurer les conversions

Objectif:Permettre aux annonceurs de mesurer les performances de leurs annonces.

L'API Attribution Reporting permet de mesurer deux événements liés: 1. Événement sur le site Web d'un éditeur (par exemple, un utilisateur qui consulte une annonce ou clique dessus). 1. Une conversion ultérieure sur le site d'un annonceur

Cette API est compatible avec les mesures des clics et des conversions après affichage.

Cette API propose également d'autres fonctionnalités, comme la création de rapports sur l'attribution multi-appareil et l'attribution Application/Web.

L'API propose également deux types de rapports sur l'attribution:

• Les rapports au niveau des événements associent un clic sur une annonce ou une vue (côté annonce) aux données côté conversion. Pour préserver la vie privée des utilisateurs, en empêchant la jointure de l'identité des utilisateurs sur les sites, les données côté conversion sont très limitées et elles sont "bruites". (ce qui signifie que pour un faible pourcentage de cas, des données aléatoires sont envoyées). Pour des raisons de protection de la confidentialité, les rapports ne sont pas envoyés immédiatement.

• Les rapports globaux ne sont associés à aucun événement spécifique côté annonce. Ces rapports fournissent des données de conversion plus riches et plus fiables que les rapports au niveau des événements. La combinaison de techniques de confidentialité (cryptographie, distribution de la confiance et confidentialité différentielle) permet de réduire le risque de jointure d'identités entre les sites.

Vous pouvez utiliser les deux types de rapports simultanément et sont complémentaires.

La page Présentation d'Attribution Reporting explique plus en détail l'état de ces fonctionnalités et comment essayer cette API.

Sélectionner les annonces

Objectif:Permettre aux annonceurs de diffuser des annonces pertinentes auprès des utilisateurs.

Les annonces pertinentes sont plus avantageuses pour les internautes et plus rentables pour les éditeurs (ceux qui possèdent des sites Web avec publicité). Les outils tiers de sélection d'annonces optimisent la valeur de l'espace publicitaire pour les annonceurs (les personnes qui achètent de l'espace publicitaire sur les sites Web), ce qui augmente les revenus des sites Web financés par la publicité et permet la création et la publication de contenu.

Il existe de nombreuses façons de rendre vos annonces pertinentes pour l'utilisateur. En voici quelques-unes:

• Données first party: diffusez des annonces en rapport avec les thèmes qu'une personne a déclarés à un site Web qui l'intéressait ou sur le contenu qu'elle a déjà consulté sur le site en question.
• Contextuel: choisissez où diffuser les annonces en fonction du contenu du site. Par exemple, "Placez cette annonce à côté d'articles sur le tricot".
• Remarketing: diffusez des annonces auprès des personnes qui ont déjà visité votre site, alors qu'elles ne sont pas sur le vôtre. Par exemple, "Diffusez cette annonce pour de la laine à prix réduit auprès des internautes qui se sont rendus dans votre magasin et ont laissé des articles de tricot dans leur panier, lorsqu'ils consultent des sites de loisirs créatifs".
• Ciblage par centres d'intérêt: sélectionnez les annonces en fonction de l'historique de navigation d'un utilisateur. Par exemple, "Diffusez cette annonce auprès des internautes dont le comportement de navigation indique qu'ils sont susceptibles de s'intéresser au tricot".

Il est possible de sélectionner les données first party et les annonces contextuelles sans connaître l'utilisateur, hormis son activité sur un site. Ces techniques ne nécessitent pas de suivi intersites.

Le remarketing repose généralement sur l'utilisation de cookies ou d'une autre méthode permettant d'identifier les utilisateurs sur les sites Web: ils sont ajoutés à des listes, puis sélectionnent les annonces spécifiques à diffuser.

Actuellement, la sélection d'annonces par centres d'intérêt utilise des cookies pour suivre le comportement des internautes sur un maximum de sites. De nombreuses personnes s'inquiètent des conséquences de la sélection des annonces sur la confidentialité. La Privacy Sandbox propose deux alternatives pour le remarketing et la sélection basée sur les centres d'intérêt:

• FLEDGE: pour les cas d'utilisation du remarketing.
  L'API est conçue de sorte qu'elle ne peut pas être utilisée par des tiers pour suivre le comportement de navigation des utilisateurs: le navigateur de l'utilisateur, et non l'annonceur ou la plate-forme de technologie publicitaire, stocke les groupes de centres d'intérêt définis par l'annonceur auxquels le navigateur de l'utilisateur est associé. Le navigateur de l'utilisateur combine les données des groupes de centres d'intérêt avec les données de l'acheteur/du vendeur d'annonces et la logique métier pour lancer une "mise aux enchères". localement sur l'appareil de l'utilisateur pour sélectionner une annonce, au lieu de partager des données avec un tiers.

• API Topics: pour les audiences basées sur les centres d'intérêt.
  Activer la publicité ciblée par centres d'intérêt, sans avoir à effectuer le suivi des sites consultés par l'internaute L'API propose d'utiliser le machine learning pour déduire des thèmes à partir de noms d'hôte, ainsi qu'une API JavaScript qui renvoie des thèmes moins précis susceptibles d'intéresser un utilisateur, en fonction des noms d'hôte des sites récemment consultés.

Lutter contre le fingerprinting

Objectif:Réduire la quantité de données potentiellement identifiables révélées par les API, et permettre aux utilisateurs de contrôler et mesurer l'accès à des données potentiellement identifiables.

Les navigateurs ont pris des mesures pour abandonner les cookies tiers, mais les techniques permettant d'identifier et de suivre le comportement des utilisateurs individuels (le fingerprinting) ont continué à évoluer. Le fingerprinting utilise des mécanismes que les utilisateurs ne connaissent pas et ne peuvent pas contrôler.

• La proposition Privacy Budget vise à limiter le potentiel du fingerprinting en identifiant la quantité de données liées aux empreintes digitales exposées par les API JavaScript ou d'autres "surfaces". (par exemple, les en-têtes de requêtes HTTP) et en définissant une limite d'accès à ces données.

• Le champ d'application des surfaces d'empreinte digitale, comme l'en-tête User-Agent, sera réduit, et les données rendues disponibles par d'autres mécanismes tels que les indicateurs client seront soumises à des limites de Privacy Budget. D'autres surfaces, comme l'orientation de l'appareil et les API battery-level, seront mises à jour afin de réduire au maximum les informations exposées.

Sécurité des adresses IP

Objectif:Contrôler l'accès aux adresses IP afin de réduire le fingerprinting dissimulé, et permettre aux sites de désactiver l'affichage des adresses IP afin de ne pas utiliser le budget de confidentialité.

L'adresse IP d'un utilisateur est l'adresse publique de leur ordinateur sur Internet, qui, dans la plupart des cas, est attribué de manière dynamique par le réseau via lequel ils se connectent à Internet. Cependant, même les adresses IP dynamiques peuvent rester stables sur une longue période. Sans surprise, cela signifie que les adresses IP constituent une source importante de données relatives aux empreintes digitales.

La proposition Gnatcatcher vise à fournir tout en s'assurant que les sites demander l'accès à des adresses IP à des fins légitimes, par exemple pour prévenir les abus, sous réserve à la certification et à l'audit.

La proposition se compose de deux parties: * Aveugle vis-à-vis des adresses IP permet aux sites Web d'informer les navigateurs qu'ils ne connectent pas les adresses IP aux utilisateurs. * La NAT proche chemin permet des groupes d'utilisateurs à envoyer leur trafic via le même serveur privatisant, masquant ainsi leurs les adresses IP d'un hôte de site.

Lutter contre le spam, la fraude et les attaques par déni de service

Objectif:Vérifier l'authenticité des utilisateurs sans le fingerprinting.

La protection contre la fraude est essentielle pour assurer la sécurité des utilisateurs, et pour permettre aux annonceurs et aux propriétaires de sites d'obtenir des mesures précises des performances des annonces. Les annonceurs et les propriétaires de sites doivent être en mesure de faire la distinction entre les robots malveillants et les utilisateurs authentiques. Si les annonceurs ne sont pas en mesure d'identifier avec certitude quels clics sur les annonces proviennent de vrais utilisateurs, ils dépensent moins, et les éditeurs de sites reçoivent donc moins de revenus. De nombreux services tiers utilisent actuellement des techniques telles que le fingerprinting des appareils pour lutter contre la fraude.

Malheureusement, les techniques utilisées pour identifier les utilisateurs légitimes et bloquer les spammeurs, les fraudeurs et les robots fonctionnent de la même manière que les techniques de empreinte digitale, qui portent atteinte à la confidentialité.

• L'API Trust Tokens propose une autre approche, qui permet de transmettre l'authenticité établie pour un utilisateur dans un contexte, tel qu'un site de réseau social, à un autre contexte, comme une annonce diffusée sur un site d'actualités, sans identifier l'utilisateur ni associer les deux identités.

Autoriser les domaines à appartenir au même propriétaire

Objectif:Permettre aux entités de déclarer que les noms de domaine associés appartiennent au même propriétaire.

De nombreuses organisations possèdent des sites couvrant plusieurs domaines. Cela peut poser problème si des restrictions sont imposées au suivi de l'identité des utilisateurs sur des sites considérés comme "tiers". mais appartiennent en fait à la même organisation.

• Les ensembles propriétaires ont pour but d'harmoniser le concept du Web de tiers et de propriétaire avec celui du monde réel en permettant à plusieurs domaines de se déclarer comme appartenant au même propriétaire.

En savoir plus

Explications de la proposition Privacy Sandbox

L'initiative Privacy Sandbox a besoin de votre soutien. Les explicateurs de la proposition d'API ont besoin de commentaires, en particulier pour suggérer des cas d'utilisation manquants et des moyens plus respectueux de la confidentialité pour atteindre leurs objectifs.

• Privacy Budget
• API Trust Token
• Gnatcatcher
• API Aggregated Reporting
• Mesure des conversions
• API Topics
• FLEDGE

Un modèle de confidentialité potentiel pour le Web décrit les principes fondamentaux sur lesquels reposent les API.

Privacy Sandbox

• Présentation technique: Privacy Sandbox
• Présentation non technique: privacysandbox.com
• Principes du projet: Créer un Web plus respectueux de la confidentialité
• L'avenir des cookies tiers

Discussion et participation

• Comment participer à l'initiative Privacy Sandbox
• Point sur l'avancement de l'initiative Privacy Sandbox
• Assistance pour les développeurs de la Privacy Sandbox: participez à des discussions ou posez des questions.

Cas d'utilisation, règles et exigences

• Cas d'utilisation publicitaires
• Règlement anti-suivi de Mozilla
• Règlement concernant la prévention du suivi WebKit
• Attribution des clics sur les annonces protégeant la confidentialité pour le Web
• Budgets pour le courage, le fingerprinting et la confidentialité

---

Annexe: Glossaire des termes utilisés dans les explications de proposition

Taux de clics (CTR)

Proportion d'utilisateurs ayant cliqué sur une annonce après l'avoir vue. Consultez également l'article Impression.

Conversion après clic (CTC)

Conversion attribuée à une annonce sur laquelle l'utilisateur a cliqué.

Conversion

Action effectuée par un utilisateur ayant déjà interagi avec une annonce de ce dernier sur le site Web d'un annonceur. Par exemple, il peut s'agir de l'achat d'un produit ou de l'inscription à une newsletter après avoir cliqué sur une annonce qui renvoie vers le site de l'annonceur.

Confidentialité différentielle

Partagez des informations sur un jeu de données pour révéler des modèles de comportement sans révéler d'informations privées sur des individus ni leur appartenance à l'ensemble de données.

Domaine

Consultez les sections Domaine de premier niveau et eTLD.

eTLD, eTLD+1 (Nom de domaine de premier niveau, eTLD+1)

'Efficace' les domaines de premier niveau sont définis par la liste des suffixes publics. Exemple :

co.uk
appspot.com
glitch.me

Les TLD efficaces permettent à foo.appspot.com d'être un site différent de bar.appspot.com. Dans ce cas, le domaine de premier niveau effectif (eTLD) est appspot.com, tandis que le nom complet du site (foo.appspot.com, bar.appspot.com) est appelé eTLD+1.

Consultez également Domaine de premier niveau.

Entropie

Mesure de la quantité de données qui révèle l'identité d'un individu.

L'entropie des données est mesurée en bits. Plus les données révèlent leur identité, plus leur valeur d'entropie est élevée.

Les données peuvent être combinées pour identifier un individu, mais il peut être difficile de déterminer si de nouvelles données contribuent à augmenter l'entropie. Par exemple, le fait de savoir qu'une personne vient d'Australie ne réduit pas l'entropie si vous savez déjà qu'elle vient de l'île Kangourou.

Empreintes

Techniques permettant d'identifier et de suivre le comportement d'utilisateurs individuels. Le fingerprinting utilise des mécanismes que les utilisateurs ne connaissent pas et ne peuvent pas contrôler.

Surface de fingerprinting

Quelque chose qui peut être utilisé (probablement en association avec d'autres surfaces) pour identifier un utilisateur ou un appareil particulier. Par exemple, la méthode JavaScript navigator.userAgent() et l'en-tête de requête HTTP User-Agent permettent d'accéder à une surface de fingerprinting (la chaîne user-agent).

Audience propriétaire

Ressources du site que vous consultez. Par exemple, la page que vous consultez se trouve sur le site web.dev et inclut des ressources de ce site. Consultez également l'article Tiers.

Impression

Vue d'une annonce. Consultez également l'article Taux de clics.

k-anonymat

Mesure de l'anonymat dans un ensemble de données. Si vous avez k anonymat, vous ne pouvez pas distinguer k-1 des autres personnes figurant dans l'ensemble de données. En d'autres termes, k individus disposent des mêmes informations (vous y compris).

Nonce

Numéro arbitraire utilisé une seule fois dans la communication cryptographique.

Origine

Origine d'une requête, y compris le nom du serveur, mais pas les informations sur le chemin d'accès. Exemple : https://web.dev.

Surface passive

Certaines surfaces de fingerprinting, telles que les chaînes de user-agents, les adresses IP et les en-têtes en langage accepté, sont disponibles pour tous les sites Web, que le site les demande ou non. Les surfaces passives peuvent donc facilement consommer le budget dédié à la confidentialité d'un site.

L'initiative Privacy Sandbox propose de remplacer les surfaces passives par des moyens actifs d'obtenir des informations spécifiques, par exemple en utilisant des indicateurs client une seule fois pour obtenir la langue de l'utilisateur au lieu d'avoir un en-tête "accepte-language" pour chaque réponse à chaque serveur.

Éditeur

Les explications de la proposition de la Privacy Sandbox concernent principalement les annonces. Les types d'éditeurs auxquels nous faisons référence sont donc ceux qui diffusent des annonces sur leurs sites Web.

Couverture

Nombre total de personnes qui voient une annonce.

Remarketing

En ciblant les internautes qui ont déjà visité votre site Par exemple, une boutique en ligne peut diffuser des annonces faisant la promotion de jouets auprès d'internautes qui ont déjà consulté son site de jouets sur son site.

Site

Consultez les sections Domaine de premier niveau et eTLD.

Surface

Consultez les sections Surface de déverrouillage par empreinte digitale et Surface passive.

Tiers

Ressources diffusées à partir d'un domaine différent de celui du site Web que vous consultez. Par exemple, un site Web foo.com peut utiliser le code d'analyse de google-analytics.com (via JavaScript), les polices use.typekit.net (via un élément link) et une vidéo provenant de vimeo.com (dans un iFrame). Consultez également l'article Propriétaire.

Domaine de premier niveau

Les domaines de premier niveau tels que .com et .org sont répertoriés dans la base de données de la zone racine.

Notez que certains "sites" ne sont en fait que des sous-domaines. Par exemple, translate.google.com et maps.google.com ne sont que des sous-domaines de google.com (qui correspond à l'eTLD + 1).

.well-known

Il peut être utile d'accéder à des règles ou à d'autres informations sur un hôte avant d'effectuer une demande. Par exemple, le fichier robots.txt indique aux robots d'exploration les pages à visiter et celles à ignorer. Le document RFC8615 de l'IETF présente une méthode standardisée pour rendre les métadonnées de l'ensemble du site accessibles dans des emplacements standards d'un sous-répertoire /.well-known/. Vous en trouverez la liste sur iana.org/assignments/well-known-uris/well-known-uris.xhtml.

---

Merci à tous ceux qui nous ont aidés à rédiger et à relire cet article.

Photo de Pierre Bamin sur Unsplash.