Les questionnement autour de l’infraction du maintien frauduleux dans un système de traitement automatisé de données (STAD) constituent un enjeu central en droit pénal numérique. Depuis la loi Godfrain de 1988, l’article 323-1 du Code pénal réprime en effet le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données.
L’article 323-1 du code pénal dispose en effet que :
« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende.
Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de cinq ans d’emprisonnement et de 150 000 € d’amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende. »
L’arrêt de la chambre criminelle de la Cour de cassation du 2 septembre 2025 (n° 24-83.605) apporte un nouvel éclairage sur cette infraction.
Il répond à une difficulté récurrente : qu’en est-il lorsqu’une personne (salarié – administrateur de réseau) dispose légitimement d’un accès technique et généralisé, mais qu’elle détourne cet accès de sa finalité professionnelle ?
L’article 323-1 du Code pénal : entre accès frauduleux et maintien frauduleux dans un STAD
L’article 323-1 du Code pénal distingue deux comportements punissables : l’accès frauduleux et le maintien frauduleux dans un système de traitement automatisé de données.
Le premier correspond à l’image classique de la personne qui, sans autorisation, parvient à pénétrer un système informatique. Le second, plus subtil, vise le cas où une personne entrée légalement dans un système reste connectée au-delà des limites de son autorisation. L’infraction peut dès lors résulter non seulement d’un accès non autorisé dans un système d’information, mais également dans le détournement de l’usage de l’accès.
C’est précisément sur ce second point que la Cour de cassation a dû se prononcer dans son arrêt du 2 septembre 2025 (n° 24-83.605).
Un administrateur réseau d’une entreprise peut faire un usage détourné de son accès à un STAD dont il dispose un accès généralisé
Dans l’affaire jugée par la chambre criminelle le 2 septembre 2025 (n° 24-83.605), un salarié responsable du réseau informatique de son entreprise disposait d’un accès général à la messagerie professionnelle.
S’il était autorisé à utiliser cet accès pour des missions de sécurité et de maintenance, il a outrepassé ses droits en consultant régulièrement la boîte mail de son supérieur hiérarchique. Il est allé plus loin en décodant son mot de passe, le remplaçant par le sien, et en transférant des courriels professionnels vers sa messagerie personnelle.
Cette consultation, strictement étrangère à sa mission, caractérisait un maintien frauduleux dans un STAD au sens de l’article 323-1 du Code pénal. Les juges du fond ont condamné le salarié, et la Cour de cassation a confirmé cette position.
La position de la Cour de cassation : le maintien est strictement délimité à la mission confiée au salarié
La Cour de cassation rappelle que la simple détention de droits techniques n’équivaut pas à un droit juridique d’utilisation illimitée. Dans son arrêt du 2 septembre 2025 (n° 24-83.605), elle souligne que l’usage doit rester conforme à la mission confiée.
L’élément intentionnel est déduit de la conscience qu’a l’utilisateur de dépasser le cadre de ses fonctions. Dans le cas d’espèce, l’administrateur savait pertinemment que la consultation et le transfert de mails personnels de son supérieur excédaient son rôle et la mission qui lui avait été confiée au sein de la société.
Ainsi, la chambre criminelle rappelle que de disposer d’un accès technique généralisé ne confère pas un droit d’usage illimité. Le droit pénal assure donc la protection du système en sanctionnant les détournements internes, autant que les intrusions externes.
Enjeux pratiques pour les entreprises et les administrateurs réseau
L’enseignement de l’article 323-1 du Code pénal et de l’arrêt du 2 septembre 2025 (n° 24-83.605) est clair :
- les droits d’administration doivent être strictement limités,
- les accès doivent être tracés,
- et les salariés habilités doivent être sensibilisés au fait que leur pouvoir technique n’équivaut pas à une liberté d’action totale au sein du système d’information de l’entreprise.
La sécurité des systèmes repose sur une double approche : une politique technique (contrôles, journaux d’accès, segmentation des privilèges) et une responsabilité juridique claire.
La portée de l’article 323-1 du Code pénal face au maintien frauduleux dans un STAD
L’arrêt du 2 septembre 2025 (n° 24-83.605) constitue une nouvelle illustration de l’application de l’article 323-1 du Code pénal dans le cas d’un accès licite mais abusif dans un système d’information.
Le message adressé aux administrateurs réseau et aux salariés est sans ambiguïté : la possession d’un accès ne signifie pas que l’on puisse l’utiliser hors mission. Le délit de maintien frauduleux est constitué dès que l’usage outrepasse la finalité autorisée.
Fidèle à l’esprit de la loi Godfrain, le droit pénal numérique assure ainsi une protection intégrale des systèmes informatiques contre les menaces externes comme internes.
Les questions sur l’article 323-1 du Code pénal et le maintien frauduleux dans un STAD
Qu’est-ce que le maintien frauduleux dans un STAD ?
Le maintien frauduleux dans un système de traitement automatisé de données (STAD) désigne le fait de rester connecté à un système informatique sans y être autorisé, même si l’entrée initiale était licite. C’est une infraction prévue par l’article 323-1 du Code pénal.
Quelle est la différence entre accès frauduleux et maintien frauduleux ?
L’accès frauduleux correspond à une intrusion non autorisée dans un système. Le maintien frauduleux concerne une personne qui, après être entrée légitimement, utilise ou conserve son accès de manière abusive. Les deux comportements sont sanctionnés par l’article 323-1 du Code pénal.
Que dit l’article 323-1 du Code pénal sur la peine ?
L’article 323-1 du Code pénal punit de deux ans d’emprisonnement et de 60 000 euros d’amende le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données.
Que retenir de l’arrêt de la Cour de cassation du 2 septembre 2025 ?
Dans l’arrêt du 2 septembre 2025 (n° 24-83.605), la Cour de cassation a jugé qu’un administrateur réseau qui détourne son accès général à une messagerie commet un maintien frauduleux dans un STAD. Le droit technique ne suffit pas à justifier l’usage, seul le droit juridique compte.
En matière de maintien frauduleux dans un système de traitement automatisé de données (STAD), les situations peuvent être complexes et nécessitent une expertise spécialisée en cybercriminalité. Il est fortement conseillé de se rapprocher d’un cabinet compétent pour sécuriser vos droits et vos procédures. Maître Belhaouci peut vous accompagner dans tous les dossiers liés aux infractions au STAD, que ce soit pour la défense d’un prévenu ou la protection d’une entreprise contre des usages abusifs de ses systèmes informatiques.
