Un administrateur de réseau qui disposait d’un accès généralisé à la messagerie peut être condamné au titre de l’article 323-1

Votre salarié dispose d’un accès général à votre messagerie professionnelle. Est-ce suffisant pour qu’il puisse tout consulter ? Non, répond la Cour de cassation dans un arrêt majeur du 2 septembre 2025.

Les questionnement autour de l’infraction du maintien frauduleux dans un système de traitement automatisé de données (STAD) constituent un enjeu central en droit pénal numérique. Depuis la loi Godfrain de 1988, l’article 323-1 du Code pénal réprime en effet le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données.

 

Ce que dit l’article 323-1 du Code pénal sur le STAD

L’article 323-1 du code pénal dispose que :

« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de 3 ans d’emprisonnement et de 100 000 € d’amende.

Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de cinq ans d’emprisonnement et de 150 000 € d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende. »

L’arrêt de la chambre criminelle de la Cour de cassation du 2 septembre 2025 (n° 24-83.605) apporte un nouvel éclairage sur cette infraction.

Il répond à une difficulté récurrente : qu’en est-il lorsqu’une personne (salarié – administrateur de réseau) dispose légitimement d’un accès technique et généralisé, mais qu’elle détourne cet accès de sa finalité professionnelle ?

 

L’article 323-1 du Code pénal : entre accès frauduleux et maintien frauduleux dans un STAD

L’article 323-1 du Code pénal distingue deux comportements punissables : l’accès frauduleux et le maintien frauduleux dans un système de traitement automatisé de données.

L’accès frauduleux

L’accès frauduleux correspond à l’image classique du pirate informatique : une personne pénètre un système sans y être autorisée. L’infraction est constituée dès lors que l’auteur exploite une faille, contourne une authentification ou utilise des identifiants obtenus sans droit.

Il n’est pas nécessaire que le système ait subi un dommage. Il s’agit d’un délit formel : l’acte lui-même suffit à constituer l’infraction.

Le maintien frauduleux

Le maintien frauduleux est plus subtil. Il vise le cas où une personne entrée légalement dans un système, prolonge sa présence ou son usage au-delà de ce qui lui est autorisé.

Selon une jurisprudence constante, le maintien se définit comme la prolongation consciente et irrégulière dans le STAD, au-delà des droits ou des finalités accordés. Ce n’est pas la connexion initiale qui est en cause, mais son détournement de finalité.

La clé : ce n’est pas le droit technique d’entrer, c’est le droit juridique d’utiliser.

C’est précisément sur ce second point que la Cour de cassation a dû se prononcer dans son arrêt du 2 septembre 2025 (n° 24-83.605).

 

Un administrateur réseau d’une entreprise peut faire un usage détourné de son accès à un STAD dont il dispose un accès généralisé

Dans l’affaire jugée par la chambre criminelle le 2 septembre 2025 (n° 24-83.605), un salarié responsable du réseau informatique de son entreprise disposait d’un accès général à la messagerie professionnelle.

S’il était autorisé à utiliser cet accès pour des missions de sécurité et de maintenance, il a outrepassé ses droits en consultant régulièrement la boîte mail de son supérieur hiérarchique. Il est allé plus loin en décodant son mot de passe, le remplaçant par le sien, et en transférant des courriels professionnels vers sa messagerie personnelle.

Cette consultation, strictement étrangère à sa mission, caractérisait un maintien frauduleux dans un STAD au sens de l’article 323-1 du Code pénal. Les juges du fond ont condamné le salarié, et la Cour de cassation a confirmé cette position.

 

La position de la Cour de cassation : le maintien est strictement délimité à la mission confiée au salarié

La Cour de cassation rappelle que la simple détention de droits techniques n’équivaut pas à un droit juridique d’utilisation illimitée. Dans son arrêt du 2 septembre 2025 (n° 24-83.605), elle souligne que l’usage doit rester conforme à la mission confiée.

L’élément intentionnel est déduit de la conscience qu’a l’utilisateur de dépasser le cadre de ses fonctions. Dans le cas d’espèce, l’administrateur savait pertinemment que la consultation et le transfert de mails personnels de son supérieur excédaient son rôle et la mission qui lui avait été confiée au sein de la société.

Ainsi, la chambre criminelle rappelle que de disposer d’un accès technique généralisé ne confère pas un droit d’usage illimité. Le droit pénal assure donc la protection du système en sanctionnant les détournements internes, autant que les intrusions externes.

 

Enjeux pratiques pour les entreprises et les administrateurs réseau

L’enseignement de l’article 323-1 du Code pénal et de l’arrêt du 2 septembre 2025 (n° 24-83.605) est clair :

• les droits d’administration doivent être strictement limités,
• les accès doivent être tracés,
• et les salariés habilités doivent être sensibilisés au fait que leur pouvoir technique n’équivaut pas à une liberté d’action totale au sein du système d’information de l’entreprise.

La sécurité des systèmes repose sur une double approche : une politique technique (contrôles, journaux d’accès, segmentation des privilèges) et une responsabilité juridique claire.

 

---

💡 En cas d’intrusion avérée, découvrez comment porter plainte pour cybercriminalité et quelles preuves rassembler.

---

 

La portée de l’article 323-1 du Code pénal face au maintien frauduleux dans un STAD

L’arrêt du 2 septembre 2025 (n° 24-83.605) constitue une nouvelle illustration de l’application de l’article 323-1 du Code pénal dans le cas d’un accès licite mais abusif dans un système d’information.

Le message adressé aux administrateurs réseau et aux salariés est sans ambiguïté : la possession d’un accès ne signifie pas que l’on puisse l’utiliser hors mission. Le délit de maintien frauduleux est constitué dès que l’usage outrepasse la finalité autorisée.

Fidèle à l’esprit de la loi Godfrain, le droit pénal numérique assure ainsi une protection intégrale des systèmes informatiques contre les menaces externes comme internes.

---

💡 Pour aller plus loin sur les infractions connexes, consultez notre analyse de l’article 323-3-1 du Code pénal sur les outils de piratage.

---

 

Les questions sur l’article 323-1 du Code pénal et le maintien frauduleux dans un STAD

Qu’est-ce que le maintien frauduleux dans un STAD ?
Le maintien frauduleux dans un système de traitement automatisé de données (STAD) désigne le fait de rester connecté à un système informatique sans y être autorisé, même si l’entrée initiale était licite. C’est une infraction prévue par l’article 323-1 du Code pénal.

Quelle est la différence entre accès frauduleux et maintien frauduleux ?
L’accès frauduleux correspond à une intrusion non autorisée dans un système. Le maintien frauduleux concerne une personne qui, après être entrée légitimement, utilise ou conserve son accès de manière abusive. Les deux comportements sont sanctionnés par l’article 323-1 du Code pénal.

Que dit l’article 323-1 du Code pénal sur la peine ?
L’article 323-1 du Code pénal punit de deux ans d’emprisonnement et de 60 000 euros d’amende le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données.

Que retenir de l’arrêt de la Cour de cassation du 2 septembre 2025 ?
Dans l’arrêt du 2 septembre 2025 (n° 24-83.605), la Cour de cassation a jugé qu’un administrateur réseau qui détourne son accès général à une messagerie commet un maintien frauduleux dans un STAD. Le droit technique ne suffit pas à justifier l’usage, seul le droit juridique compte.