Google’s Perilous Plan for a Cloud Center in Saudi Arabia is an Irresponsible Threat to Human Rights

Le 9 août, une Saoudienne a été condamnée à 34 ans de prison par le tristement célèbre tribunal pénal spécialisé  du Royaume d’Arabie saoudite à Riyad. Son délit ? Avoir un compte Twitter et suivre et retweeter des dissidents et des militants.

Le même jour, un jury fédéral à San Francisco a condamné un ancien employé de Twitter pour blanchiment d’argent et autres accusations d’espionnage – au nom du royaume – d’utilisateurs de Twitter critiques à l’égard du gouvernement saoudien.

Ce ne sont là que les derniers exemples du bilan lamentable de l’Arabie saoudite en matière d’espionnage numérique, notamment l’infiltration des plateformes de médias sociaux, la cybersurveillance, la répression de la dissidence publique et la censure de ceux qui critiquent le gouvernement. Pourtant, dans ce contexte de répression généralisée et de surveillance abusive, Google va de l’avant avec le projet de mettre en place, en partenariat avec l’entreprise publique Saudi Aramco, un gigantesque centre de données en Arabie saoudite pour sa plateforme de cloud computing au service des clients professionnels.

Ces centres de données cloud, qui existent déjà à Jakarta, Tel Aviv, Berlin, Santiago, le Chili, Londres, Los Angeles et des dizaines d’autres villes à travers le monde, sont utilisés par les entreprises pour gérer tous les aspects de leurs activités. Ils stockent des données, exécutent des bases de données et fournissent l’informatique aux départements des ressources humaines, du service client, des services juridiques, de la sécurité et des communications de l’entreprise.

En tant que tels, ils peuvent héberger des tonnes d’informations personnelles sur les employés et les clients, y compris les dossiers personnels, les e-mails, les documents confidentiels, etc. Le centre cloud de la région saoudienne est en cours de développement “avec un accent particulier sur les entreprises du Royaume”, a déclaré Google .

Avec le mauvais bilan de l’Arabie saoudite en matière de droits de l’homme, il est difficile de voir comment ou même si Google peut garantir la confidentialité et la sécurité des personnes dont les données résideront dans ce cloud. L’Arabie saoudite a prouvé à maintes reprises qu’elle exploite l’accès aux données privées pour cibler des militants, des dissidents et des journalistes, et fera tout son possible pour obtenir illégalement des informations auprès d’entreprises technologiques américaines afin d’identifier, de localiser et de punir les citoyens saoudiens qui critiquent les politiques gouvernementales. et la famille royale.

Des agents saoudiens ont infiltré Twitter en 2014 et ont utilisé leurs informations d’identification d’employé pour accéder à des informations sur les personnes derrière certains comptes Twitter critiquant le gouvernement, y compris les adresses e-mail, numéros de téléphone, adresses IP et dates de naissance des propriétaires de compte, selon le ministère américain de la Justice . . L’information aurait été utilisée pour identifier un travailleur humanitaire saoudien qui a été condamné à 20 ans de prison pour avoir prétendument utilisé un compte Twitter satirique pour se moquer du gouvernement.

Pendant ce temps, une enquête du Citizen Lab a conclu avec une « haute confiance » qu’en 2018, le téléphone portable d’un éminent activiste saoudien basé au Canada a été infecté par un logiciel espion qui permet un accès complet aux chats, aux e-mails, aux photos, aux microphones et à l’appareil photo de l’appareil. Et pas plus tard que la semaine dernière, l’épouse du journaliste saoudien assassiné Jamal Khashoggi a annoncé qu’elle poursuivait le groupe NSO pour une prétendue surveillance d’elle via le logiciel espion Pegasus. Ce ne sont là que quelques exemples de la guerre numérique du gouvernement saoudien contre la liberté d’expression.

Les défenseurs des droits de l’homme et des droits à la vie privée numérique, y compris l’EFF, ont demandé à Google d’arrêter les travaux sur le centre de données jusqu’à ce qu’il ait effectué un examen préalable des risques pour les droits de l’homme posés par le projet, et a décrit le type de demandes gouvernementales de données qui sont incompatibles avec les normes des droits de l’homme et doivent être rejetées par l’entreprise. Trente-neuf groupes et individus de défense des droits de l’homme et des droits numériques ont décrit quatre mesures spécifiques que Google devrait prendre pour travailler avec les groupes de défense des droits de la région afin d’évaluer les risques que son plan impose aux groupes potentiellement concernés et d’élaborer des normes pour l’hébergement des services cloud.

Google a déclaré qu’une évaluation indépendante des droits de l’homme avait été menée pour le centre cloud saoudien et que des mesures avaient été prises pour répondre aux préoccupations, mais il n’a pas divulgué l’évaluation ni aucun détail sur l’atténuation, telles que les mesures qu’il prend pour s’assurer que les agents saoudiens peuvent ‘t infiltrer le centre comme ils l’ont fait sur Twitter, comment les données personnelles sont protégées contre tout accès inapproprié et si elles résisteront aux demandes du gouvernement concernant les données des utilisateurs qui sont légales en vertu de la loi saoudienne mais ne sont pas conformes aux normes internationales des droits de l’homme.

“Le gouvernement saoudien a démontré à maintes reprises un mépris flagrant pour les droits humains, à la fois par ses propres actions directes contre les défenseurs des droits humains et par son espionnage sur les plateformes numériques des entreprises pour faire de même”, indique le communiqué des groupes de défense des droits humains. “Nous craignons qu’en s’associant au gouvernement saoudien, Google ne devienne complice de futures violations des droits de l’homme affectant les personnes en Arabie saoudite et dans la région du Moyen-Orient.”

Ce n’est pas la première fois que les projets de Google de faire affaire avec des gouvernements autoritaires et d’en profiter suscitent l’indignation. En 2018, The Intercept a révélé que Google prévoyait de publier une version censurée de son service de moteur de recherche en Chine. « Project Dragonfly » était un plan secret visant à créer un outil de recherche censuré et traçable pour le gouvernement chinois, ce qui soulevait un risque réel que Google aide directement le gouvernement chinois à arrêter ou emprisonner des personnes simplement pour avoir exprimé leurs opinions en ligne.

Google a finalement reculé, déclarant au Congrès qu’il avait mis fin au projet Dragonfly. Malheureusement, nous n’avons vu aucun signe indiquant que Google réévalue ses plans pour le centre cloud saoudien, malgré les preuves accablantes selon lesquelles le dépôt d’un tel trésor de données personnelles potentiellement sensibles tombe en plein dans un pays qui n’a aucun scrupule à accéder, par quelque moyen que ce soit, à des informations. afin qu’il puisse identifier et punir ses détracteurs mettra presque certainement en danger non seulement les militants mais aussi les gens ordinaires pour avoir simplement exprimé des opinions.

En effet, en juin, la direction d’Alphabet, la société mère de Google, a exhorté les actionnaires à rejeter une résolution qui obligerait l’entreprise à publier une évaluation de l’impact sur les droits de l’homme et un plan d’atténuation pour les centres de données situés dans des zones présentant des risques importants pour les droits de l’homme, notamment l’Arabie saoudite. . Elle a même demandé à la Securities and Exchange Commission d’exclure la résolution de sa circulaire de sollicitation de procurations 2022 car, entre autres, elle a déjà mis en œuvre ses éléments essentiels.

Mais ce n’était guère le cas. Plus précisément, Google a déclaré qu’il s’engage à respecter les normes des Principes directeurs des Nations Unies relatifs aux entreprises et aux droits de l’homme (UNGP) et à la Global Network Initiative (GNI) lors de son expansion dans de nouveaux emplacements. Ces normes exigent des « rapports formels » lorsque de graves incidences sur les droits de l’homme résultent d’opérations commerciales ou de contextes d’exploitation, la transparence avec le public et une évaluation et une évaluation indépendante de la manière dont les protections des droits de l’homme sont respectées.

Google a fait le contraire – il prétend avoir mené une évaluation des droits de l’homme pour le centre de cloud computing en Arabie saoudite et abordé les “questions identifiées” dans cette étude, mais n’a publié aucun détail ni aucun rapport public.

La résolution des actionnaires a été rejetée lors de l’assemblée annuelle d’Alphabet. La bonne nouvelle est qu’une majorité (57,6 %) d’actionnaires indépendants ont voté en faveur de la résolution, démontrant l’alignement avec les groupes de défense des droits qui veulent que Google fasse la bonne chose et montre qu’il connaît très bien les risques que ce centre de cloud représente pour les droits de l’homme. dans la région en révélant exactement comment il prévoit de protéger les gens face à un gouvernement déterminé à punir la dissidence.

Si Google ne peut pas respecter ses engagements en matière de droits de l’homme et ses prétentions d’avoir “traité des problèmes” qui mettent littéralement en danger la vie et la liberté des gens – et nous nous demandons s’il le peut – alors il devrait renoncer à ce plan périlleux. L’EFF et une foule de groupes du monde entier et de la région regarderont.

BY KAREN GULLO

Cet article a été publié en partenariat avec EFF