Délit de maintien frauduleux dans un STAD d'un administrateur réseau

Arrêt de la chambre criminelle de la Cour de cassation du 2 septembre 2025

Les faits et la décision de la cour d’appel de Versailles

Ledit salarié a formé un pourvoi à l’encontre de l’arrêt de la cour d’appel de Versailles, qui l’a condamné à 3 mois d’emprisonnement avec sursis et à régler 10.000 euros de dommages et intérêts au gérant de l'entreprise, et ce, pour atteinte à un système de traitement automatisé de données (1).

La société a déposé plainte avec constitution de partie civile pour des faits d’accès ou maintien frauduleux dans un système de traitement automatisé de données, d’entrave au fonctionnement d’un système automatisé de données, de suppression et modification frauduleuses des données contenues dans un système de traitement automatisé.

Le salarié quant à lui, conteste d’une part, d’avoir été déclaré coupable de maintien frauduleux dans un STAD, alors que « l’infraction de maintien frauduleux dans un système de traitement automatisé de données ne peut être reprochée à la personne qui bénéficiait, au moment dudit maintien, d’une autorisation d’accès à ce système, peu important l’utilisation qui en a été faite. Qu’en déclarant le salarié coupable de maintien frauduleux dans un système de traitement automatisé de données pour avoir pris connaissance des courriels échangés entre le dirigeant de la société et des tiers à l’insu de ce dernier, lorsqu’elle constatait que le prévenu disposait, en raison de ses fonctions d’administrateur de réseau de la société, d’un accès à la messagerie de son dirigeant, la cour d’appel a violé l’article 323-1 du code pénal ».

💡 Il convient de rappeler qu’aux termes de l’article 323-1 du Code pénal, le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de 3 ans d’emprisonnement et de 100.000 euros d’amende (2).

La position de la Cour de cassation : un maintien frauduleux confirmé

La Chambre criminelle de la Cour de cassation approuve le raisonnement des premiers juges qui ont déclaré le salarié coupable de maintien frauduleux dans un STAD.

💡 A savoir que le prévenu, qui est administrateur réseau salarié de la société, disposait, en raison de sa fonction, des codes permettant d’accéder à la messagerie de tous les salariés de celle-ci, y compris celle de son gérant.

Aussi, les premiers juges ont relevé que : « les éléments matériels recueillis par les enquêteurs et les déclarations du prévenu établissent qu'il prenait connaissance, de manière occulte, des messages archivés du gérant de la société et qu'il avait conscience du caractère illégal de ses agissements, qu'il avait d'ailleurs installé, la veille de sa mise à pied, et de manière là encore dissimulée, un procédé de transfert automatique des courriels du gérant de la société à destination de sa propre adresse électronique ».

Ainsi, selon les juges : « en prenant connaissance, dans son compte de messagerie, à l'insu du gérant de la société, du contenu des courriels échangés par ce dernier avec des tiers, et ce, à des fins étrangères à sa mission, le salarié s'est rendu coupable de l'infraction visée à la prévention, peu important le mobile ayant présidé aux faits ».

D’autre part, le salarié, conteste le fait que les premiers juges aient déclaré recevable la constitution de partie civile du gérant de la société en son nom propre, de l'avoir déclaré responsable du préjudice subi par ce dernier et de l'avoir condamné à lui payer la somme de 10.000 euros en indemnisation de son préjudice moral, alors que, selon le salarié « l'action civile n'est recevable devant les juridictions répressives qu'autant que la partie qui l'exerce a souffert d’un dommage personnel directement causé par l’infraction.

Or, l'infraction de maintien frauduleux dans un système de traitement automatisé de données ne porte personnellement et directement préjudice qu’au propriétaire desdites données.

Ainsi, en retenant que l'infraction de maintien frauduleux dans un système de traitement automatisé de données avait causé un préjudice moral direct au gérant de la société, lorsqu’elle constatait que les données auxquelles le prévenu avait pu avoir accès sur la messagerie professionnelle du gérant de la société, ne concernaient que cette société et non des données personnelles appartenant au gérant, la cour d'appel a violé l'article 2 du Code de procédure pénale ».

🔍 La Chambre criminelle de la Cour de cassation a rejeté, de nouveau, le moyen soutenu par le salarié, et au contraire approuvé la cour d’appel pour avoir condamné le salarié à indemniser le préjudice moral subi par le gérant de la société, au motif que notamment le salarié s'est maintenu dans la messagerie personnelle de la partie civile dans ces circonstances, les faits commis au mépris de la confiance que lui accordait le gérant de la société, ont causé directement à ce dernier un préjudice certain et important, évalué à la somme de 10.000 euros.

En effet, selon la Haute juridiction, la Cour d’appel de Versailles "a retenu, à bon droit, que la perte de confiance éprouvée par le gérant de la société, suite aux agissements du salarié, était constitutive d'un préjudice moral découlant directement du délit prévu par l'article 323-1 du Code pénal retenu à la charge du prévenu".

L'analyse de l'arrêt du 2 septembre 2025 

L’arrêt de la chambre criminelle de la Cour de cassation du 2 septembre 2025 s’inscrit dans le prolongement d'une jurisprudence constante en matière d’infraction de maintien frauduleux dans un STAD.

📌 En effet, la chambre criminelle a déjà retenu, à propos d’un administrateur réseau, l’infraction d’accès et de maintien frauduleux lorsque l’intéressé avait détourné ses prérogatives pour capter des données via un logiciel espion (keylogger). Ce comportement étant étranger aux missions de maintenance et de sécurité du parc informatique (3).

A l’inverse, il a été jugé que lorsque l’intéressé agit dans le périmètre exact de ses habilitations « si l’accédant est parfaitement habilité par ses fonctions à accéder à la partie du système informatique (…) le caractère frauduleux ne peut être retenu », mais la loi punit aussi le fait de « s’y être maintenu frauduleusement y compris lorsqu’on y est entré régulièrement "(4).

Les dispositions de l’article 323-1 du Code pénal couvrent, à la fois et de manière distincte, l’accès et le maintien illicite dans un STAD. Ainsi, le maintien peut être sanctionné même si l’accès initial est régulier. Selon une jurisprudence constante, le « maintien » vise la prolongation consciente et irrégulière de la présence dans le STAD au-delà des droits ou finalités autorisés.

Comme tout délit pénal, l'infraction de maintien frauduleux dans un STAD nécessite un élément moral, à savoir la conscience du caractère irrégulier, qui résulte de la violation des règles d’usages internes, du détournement de finalité ou de la captation de données étrangères aux missions confiées.

Ainsi, le fait d’être habilité n’exonère pas le salarié en cas de maintien irrégulier ou de détournement de finalité.

Ainsi, les arrêts de la chambre criminelle de la Cour de cassation du 2 septembre 2025, ainsi que celui du 10 mai 2017, illustrent l’infraction de maintien frauduleux dans un STAD lorsque l’usage des outils est étranger à la maintenance et/ou à la sécurité du système.

Il existe des circonstances aggravantes liées aux dommages et aux systèmes de l’Etat.

💰 En effet, lorsque l’accès ou le maintien a provoqué une suppression ou modification de données ou altération du fonctionnement, la peine est de 5 ans d’emprisonnement et de 150.000 euros d’amende, lorsque l’infraction vise un STAD à caractère personnel mis en œuvre par l’Etat.