Le DOJ exige d’Apple et Google les identités de 100 000 utilisateurs d’une app auto : ce que ça révèle

Une réquisition d’une ampleur inédite visant les magasins d’applications #

L’information, révélée le 15 mai 2026, a fait l’effet d’une déflagration dans la communauté tech américaine. Selon plusieurs sources concordantes relayées par 9to5Mac, le Department of Justice (DOJ) a adressé à Apple, Google et Amazon des assignations à comparaître exigeant l’identification complète de plus de 100 000 utilisateurs ayant téléchargé une application appelée EZ Lynk.

Cette application, disponible sur l’App Store et le Google Play Store, permet aux propriétaires de véhicules diesel — pickups Ford, Ram ou Chevrolet pour l’essentiel — de modifier les paramètres de leur calculateur moteur via un boîtier Bluetooth. Une pratique populaire dans le monde du tuning amateur, mais qui peut, dans certains cas, désactiver les dispositifs anti-pollution imposés par le Clean Air Act.

Ce qui rend cette affaire singulière, ce n’est pas tant l’enquête sur EZ Lynk elle-même que l’ampleur démesurée du périmètre visé : ce sont les utilisateurs finaux, et non l’éditeur, qui sont massivement ciblés. Une approche que les juristes spécialisés en privacy qualifient de « pêche au filet dérivant » numérique.

EZ Lynk, l’application au cœur de la tempête #

EZ Lynk est commercialisée comme un outil de diagnostic et de réglage moteur pour véhicules diesel modernes. Son boîtier Auto Agent se connecte au port OBD-II et dialogue avec l’application via Bluetooth. Les fonctions vont du simple suivi de consommation à la modification des cartographies moteur, en passant par la lecture des codes défaut.

Le problème, du point de vue du DOJ, viendrait des « profils » téléchargeables qui peuvent désactiver le filtre à particules diesel (FAP) ou le système SCR à AdBlue. Une modification illégale aux États-Unis dès lors que le véhicule circule sur la voie publique, en vertu de l’Environmental Protection Agency (EPA) et du Clean Air Act de 1970.

L’ampleur du périmètre : un fait sans précédent récent #

Pour saisir la singularité de cette réquisition, il faut la comparer aux pratiques habituelles. Les subpoenas adressés aux GAFAM portent traditionnellement sur des comptes nommément identifiés dans le cadre d’enquêtes précises. Ici, le DOJ part du postulat inverse : « donnez-nous tous les utilisateurs ayant téléchargé cette app », charge à l’enquête de trier ensuite.

Ce changement d’échelle inquiète. Pour la première fois, ce n’est plus un suspect identifié qui est ciblé, mais une cohorte entière définie par un comportement d’achat numérique. La logique est proche de celle des « geofence warrants » qui réclament la liste de tous les téléphones présents dans une zone — pratique vivement contestée devant les cours fédérales depuis 2023.

Ce que les trois géants sont sommés de fournir #

D’après les éléments rendus publics, la réquisition couvre un éventail particulièrement large d’informations personnelles. Le DOJ ne se contente pas d’un identifiant Apple ID ou Google Account : il demande l’écosystème complet permettant de relier un téléchargement à une identité réelle traçable.

Le périmètre fait frémir les juristes spécialisés. Un avocat new-yorkais cité par 9to5Mac évoque « une expédition de pêche présentée comme une enquête ciblée », soulignant que la simple installation d’EZ Lynk ne constitue en rien une infraction. Seul un usage spécifique du logiciel — désactiver les dispositifs anti-pollution sur un véhicule routier — tombe sous le coup de la loi.

Le précédent inquiétant des subpoenas Apple sur les utilisateurs finaux #

Apple s’est forgé une réputation, ces dix dernières années, de défenseur acharné de la vie privée de ses utilisateurs. Le bras de fer historique avec le FBI en 2016 autour de l’iPhone de San Bernardino a posé un précédent : la firme de Cupertino refuse de créer des portes dérobées et conteste régulièrement les réquisitions jugées disproportionnées.

La firme à la pomme publie deux fois par an un rapport de transparence détaillant le volume de réquisitions reçues. La dernière édition fait état de plusieurs dizaines de milliers de demandes par semestre, mais portant sur des dizaines de comptes en moyenne par demande. Atteindre la barre des 100 000 utilisateurs en une seule requête constituerait un saut d’échelle inédit.

Les arguments du DOJ face aux objections des défenseurs des libertés #

Pour justifier sa démarche, le DOJ s’appuierait sur le Clean Air Act et sur les sanctions civiles considérables (jusqu’à 4 819 dollars par véhicule modifié, selon les barèmes EPA récents) qu’il peut infliger aux contrevenants. L’argument environnemental est solide sur le fond : les véhicules « déFAPés » émettent plusieurs dizaines de fois plus de particules fines que la norme.

Les organisations comme l’Electronic Frontier Foundation (EFF) et l’ACLU rétorquent que la proportionnalité n’est pas respectée. Demander les identités de 100 000 personnes pour en sanctionner peut-être 5 % à 10 % revient à utiliser un bulldozer là où un scalpel suffirait. Plusieurs requêtes pourraient être contestées devant les juges fédéraux.

Apple peut-il refuser ? Le cadre légal américain rappelé #

Aux États-Unis, le Stored Communications Act (SCA) et l’Electronic Communications Privacy Act (ECPA) encadrent les réquisitions de données détenues par les fournisseurs de services. Une subpoena classique permet d’obtenir des informations de souscripteur (nom, adresse, IP) sans mandat de juge, à condition que la requête soit « raisonnablement liée » à une enquête.

C’est précisément ce qualificatif de « raisonnable » qui se joue ici. Apple, comme Google et Amazon, peut déposer une motion to quash — une requête en annulation — devant le tribunal fédéral qui a émis la subpoena. La firme de Cupertino l’a déjà fait à plusieurs reprises, notamment quand le volume ou le périmètre des données demandées paraissait excessif au regard de l’objet de l’enquête.

Reste que dans une majorité de cas, après négociation, les géants tech finissent par fournir au moins une partie des informations demandées. La question, dans le dossier EZ Lynk, ne sera donc pas tant de savoir si Apple obéira ou refusera frontalement, mais de mesurer jusqu’où la firme acceptera de réduire le périmètre.

Ce que cela change pour les utilisateurs lambda de l’App Store #

Au-delà du cas spécifique d’EZ Lynk, plusieurs leçons opérationnelles méritent d’être tirées par tout utilisateur soucieux de sa vie privée numérique. La granularité des données conservées par les stores est plus fine qu’on ne l’imagine : un simple téléchargement gratuit laisse des traces que la firme conserve pendant des années.

L’angle européen : que dirait le RGPD face à pareille requête ? #

L’affaire EZ Lynk se déroule entièrement sur le sol américain, mais elle interroge les juristes européens. Si le DOJ adressait une réquisition équivalente à une filiale européenne d’Apple ou de Google, le Règlement général sur la protection des données (RGPD) imposerait des garde-fous bien plus stricts. Le principe de minimisation interdirait notamment de demander 100 000 dossiers pour traquer une infraction administrative.

Le Cloud Act américain, adopté en 2018, complique cependant la donne : il permet aux autorités US de réclamer des données stockées par des entreprises américaines, où qu’elles soient hébergées. Plusieurs procédures contentieuses opposent ainsi régulièrement Bruxelles et Washington, et la Cour de justice de l’Union européenne a déjà invalidé deux accords de transfert de données (Schrems I et II) pour ce motif.

Quelles suites probables pour le dossier EZ Lynk ? #

Trois scénarios principaux se profilent dans les semaines à venir. Le premier verrait Apple, Google et Amazon contester collectivement la subpoena devant le tribunal fédéral émetteur, en arguant de la disproportion. Issue incertaine, mais le précédent juridique vaudrait le combat.

Le deuxième consisterait en une négociation discrète aboutissant à un périmètre réduit — par exemple les utilisateurs ayant aussi acheté un boîtier hardware, ce qui élimine d’office les simples curieux. Le troisième, plus rare mais possible, verrait les firmes céder l’intégralité des données, créant un précédent qui inquiéterait durablement la communauté tech.

Quel que soit l’aboutissement, l’affaire EZ Lynk marque un tournant. Pour la première fois, le DOJ assume publiquement une réquisition de masse fondée sur un simple comportement d’achat numérique. La frontière entre enquête ciblée et surveillance généralisée se déplace, sous nos yeux, un dossier après l’autre.