CODE
CODE
5 juillet 2023
Bosko Milekic

Jonction et activation privées ouvertes (OPJA)

OPJA permet une activation publicitaire interopérable et respectueuse de la vie privée, basée sur les données PII.

Jonction et activation privées ouvertes (OPJA)
Salles blanches de données
Collaboration en matière de données
Interopérabilité

Le Tech Lab de l'IAB publie aujourd'hui la version 1.0 de la norme d'interopérabilité en salle blanche Open Private Join and Activation (OPJA). Tout au long de l'année dernière, avec un nombre croissant de collaborateurs de l'industrie et de membres des groupes de travail " Privacy Enhancing Technologies" (PETs) et " Rearc Addressability" du Tech Lab, notre équipe a joué un rôle de premier plan dans le développement d'OPJA, dans le but de permettre une activation publicitaire interopérable et sans risque pour la vie privée, basée sur des données PII.

Au-delà de notre travail sur la proposition initiale, nous avons plusieurs objectifs plus larges avec OPJA :

  1. Notre objectif est de définir un ensemble ouvert et normalisé d'exigences pour un type d'opération en salle blanche permettant à un annonceur et à un éditeur de faire correspondre des ensembles de données sensibles contenant des informations personnelles de l'utilisateur, telles que des adresses électroniques ou des numéros de téléphone, tout en limitant autant que possible l'échange d'informations entre les parties.

  2. Nous voulons développer et promouvoir l'adoption de mécanismes standard dans OpenRTB qui permettent le ciblage publicitaire des impressions publicitaires des utilisateurs correspondant à l'OPJA, en utilisant n'importe quel SSP ou DSP compatible.
  1. Nous souhaitons fournir des implémentations de référence ouvertes qui permettent la mise en œuvre de l'OPJA tout en respectant les exigences énoncées.

  2. Nous voulons soutenir les étiquettes cryptées d'OPJA comme moyen d'activer en toute sécurité les audiences appariées d'Optable, ainsi qu'interopérer avec d'autres fournisseurs sur la base des mécanismes d'appariement sécurisés d'OPJA.

Même si nous pensons que les fournisseurs de salles blanches et les plateformes de collaboration peuvent proposer leur propre version du cas d'utilisation de l'activation (beaucoup le font déjà), nous espérons qu'ils feront un effort pour évaluer et aligner leurs implémentations afin de mieux adhérer à l'OPJA, et nous avons l'intention de leur faciliter la tâche.

Pour atteindre nos objectifs, il était impératif de convenir d'une méthode fiable et indépendante permettant de faire correspondre et d'activer les données des utilisateurs dans le cadre d'une salle blanche multi-fournisseurs.

Il est essentiel d'effectuer ce travail de manière ouverte, car cela garantit qu'il est largement accessible et que tout fournisseur peut apporter des idées et examiner les protocoles et les technologies proposés. Les logiciels libres favorisent la transparence, la collaboration et l'inclusion dans le processus de développement. Nous pensons que la fourniture d'une base commune à laquelle tout le monde peut accéder, modifier et contribuer est essentielle pour parvenir à l'interopérabilité entre tous les fournisseurs, et non pas entre quelques uns.

Pourquoi l'activation ?

Nous avons décidé de concentrer nos efforts initiaux en matière de normes d'interopérabilité sur le cas d'utilisation de l'activation, non seulement parce qu'il s'agit d'un cas d'utilisation fréquemment rencontré dans l'industrie, mais aussi parce que nous avons constaté une certaine confusion quant à la mesure dans laquelle les informations sur les utilisateurs sont échangées entre les parties qui permettent aujourd'hui ce cas d'utilisation selon des méthodes propriétaires.

À première vue, l'activation d'audiences qui se chevauchent à l'aide d'une salle blanche est simple. Prenons le cas d'un annonceur disposant d'une liste de clients et souhaitant afficher des publicités à ces clients lorsqu'ils interagissent avec les sites web ou les applications d'un éditeur. Si les utilisateurs ont fourni des informations d'identification personnelle, telles que leur adresse électronique, à l'éditeur et à l'annonceur directement, l'annonceur et l'éditeur peuvent comparer les ensembles de données dans une salle blanche afin de construire une audience d'utilisateurs qui se chevauchent. Voici un diagramme de Venn illustrant cette opération :

Bien que simple en apparence, le partage d'informations associées à des utilisateurs individuels présente plusieurs différences subtiles mais importantes qui peuvent survenir lorsqu'une telle opération est réalisée dans la pratique. Notamment, quelles nouvelles informations sur les utilisateurs l'annonceur et l'éditeur pourraient-ils obtenir à la suite de l'opération de mise en correspondance et de ciblage ? L'annonceur sera-t-il en mesure de savoir lesquels de ses clients individuels naviguent également sur les sites web de l'éditeur ? Et l'éditeur saura-t-il lesquels de ses utilisateurs enregistrés sont également des clients de l'annonceur ?

Pour répondre à ces questions, un ensemble standard d'objectifs de conception en matière de sécurité et de respect de la vie privée, d'exigences d'entrée et de sortie et de documentation claire concernant la mesure dans laquelle des informations privées sur les utilisateurs sont échangées entre les parties lors de la mise en œuvre du cas d'utilisation de l'activation publicitaire ont été élaborés et intégrés à la spécification OPJA. En fin de compte, notre objectif avec OPJA est de permettre le ciblage publicitaire sur des utilisateurs qui se chevauchent sans que les parties ne se communiquent d'informations sur l'utilisateur. Ce n'est pas seulement bon pour la vie privée de l'utilisateur final, mais cela empêche également le partage de données qui pourraient être exploitées par des concurrents.

Relever le niveau de protection de la vie privée

Une caractéristique déterminante des salles blanches est qu'elles permettent de limiter la portée du traitement des données des utilisateurs contrôlées par plusieurs parties. Un exemple simple de cette caractéristique est la construction d'un rapport agrégé décrivant l'intersection de deux audiences provenant de parties distinctes. Dans un tel rapport, la réunion, le regroupement, l'agrégation et l'injection de bruit statistique peuvent tous être effectués dans une salle blanche, empêchant ainsi l'une ou l'autre partie d'apprendre quoi que ce soit sur les données de l'autre partie, à l'exception de ce qui est inclus dans le rapport prescrit.

Cette capacité de limitation des salles blanches est inhérente à l'opération d'activation de la correspondance prescrite par la spécification OPJA. Dans OPJA, une correspondance sécurisée est effectuée afin de déterminer quels utilisateurs individuels se trouvent à l'intersection des audiences provenant d'un annonceur et d'un éditeur. Plutôt que de partager la liste des utilisateurs correspondants avec l'une ou l'autre des parties, la présence ou l'absence de chaque utilisateur dans l'intersection est codée sous la forme d'une étiquette, puis cryptée. Ces étiquettes d'utilisateurs cryptées sont partagées avec l'éditeur qui ne peut pas les décrypter, mais qui est en mesure de les insérer dans les demandes de publicité. Les demandes de publicité sont traitées par des techniques publicitaires (SSP et DSP), et seul le DSP désigné par l'annonceur peut décrypter les étiquettes correspondantes, ce qui permet au DSP de décider s'il y a lieu d'enchérir pour la diffusion d'une publicité et quel en est le montant. Il est essentiel que les IIP telles que l'adresse électronique ou le numéro de téléphone ne soient jamais partagées ou transférées dans les demandes d'annonces, ou en dehors de l'opération de correspondance.

Tout aussi important, grâce au cryptage des étiquettes, OPJA permet de cacher à l'annonceur et à l'éditeur les informations concernant les utilisateurs individuels qui se trouvent dans l'intersection d'audience. Cela réduit les fuites de données entre les annonceurs et les éditeurs et permet le remarketing sans nécessiter le suivi de l'utilisateur. Fondamentalement, il s'agit d'une approche qui adhère aux principes de minimisation des données et de limitation des finalités de la protection de la vie privée dès la conception.

Technologies d'amélioration de la protection de la vie privée

L'OPJA décrit deux approches permettant de faire correspondre les données PII des utilisateurs dans un cadre multifournisseur, et elles sont toutes deux basées sur des technologies de renforcement de la protection de la vie privée (PET). La première est une intersection d'ensembles privés déléguée, purement logicielle. Cette méthode permet de comparer des ensembles de données chiffrées à l'aide d'un chiffrement commutatif, sans déchiffrer les données. Le serveur d'assistance délégué ne peut pas décrypter les données de correspondance et n'est utilisé que pour exécuter la comparaison des données et générer des données cryptées pour l'activation. Une confiance supplémentaire dans le serveur d'assistance pourrait être assurée par une attestation à distance fournie par le matériel.

La seconde approche est basée sur des environnements d'exécution de confiance (TEE) fournis par le matériel. Cette méthode garantit que les données de correspondance sont cryptées exclusivement pour le matériel de traitement sécurisé fourni par un serveur d'assistance.

L'utilisation des TEP offre une base solide à partir de laquelle la confiance entre les fournisseurs concernant la manière dont les données des utilisateurs sont comparées peut être établie. L'appariement OPJA exige que les données restent protégées par le cryptage pendant le traitement, grâce à une combinaison de logiciels de cryptographie et de matériel TEE. Cela réduit considérablement le nombre d'éléments sur lesquels les fournisseurs et les prestataires de services doivent se faire confiance.

Les approches d'appariement de l'OPJA ne sont pas non plus théoriquement limitées à un seul nuage ou à un seul environnement d'infrastructure. Ces caractéristiques font des approches fondées sur les technologies de l'information et de la communication des candidats à l'interopérabilité dans un environnement multifournisseur.

En savoir plus

Vous pouvez consulter la spécification de l'OPJA ainsi que les directives de l'IAB Tech Lab sur les salles blanches ici. En outre, voici la dernière annonce du Tech Lab concernant la version 1.0 de la spécification.

Pour une introduction amusante à l'OPJA, consultez l'excellent article de Digidayintitulé WTF is IAB Tech Lab's Open Private Join and Activation ?

Pour une démonstration simple de la façon dont le chiffrement commutatif peut être utilisé pour permettre une correspondance en double aveugle (non spécifique à OPJA), jetez un coup d'œil à ce petit explicatif ici.

Intégrer

Si vous êtes un fournisseur de données ou de technologie publicitaire (SSP, DSP, serveur publicitaire) intéressé par l'interopérabilité avec la plateforme de collaboration de données d'Optable en utilisant OPJA, nous serions ravis d'entendre parler de vous. Envoyez-nous un e-mail.

Enfin, nous espérons que l'OPJA servira de catalyseur pour de futures propositions ouvertes associées à la mesure, à la modélisation de l'audience et à d'autres cas d'utilisation qui impliquent le partage de données sensibles sur les utilisateurs entre les annonceurs et les éditeurs.