Un administrateur réseau peut-il être condamné pour cybercriminalité alors même qu’il dispose d’un accès général aux boîtes mail de l’entreprise ? La Cour de cassation répond clairement oui dans un arrêt du 2 septembre 2025 (n° 24-83.605). En consultant en secret les courriels de son dirigeant et en mettant en place un transfert automatique vers sa propre adresse, le salarié a commis un maintien frauduleux dans un système de traitement automatisé de données (STAD) au sens de l’article 323-1 du code pénal. Cette décision élargit concrètement le champ de l’infraction et invite les entreprises à revoir leurs pratiques internes en matière d’accès aux systèmes d’information.
1. Un administrateur réseau qui espionne la messagerie de son dirigeant
Dans l’affaire jugée le 2 septembre 2025, un salarié d’une société exerce les fonctions d’administrateur réseau. À ce titre, il dispose de droits d’accès très étendus aux systèmes informatiques, notamment à la messagerie professionnelle du dirigeant.
Il lui est reproché deux comportements :
- avoir consulté de manière occulte les messages archivés de son employeur ;
- avoir installé, la veille de sa mise à pied, un transfert automatique de tous les mails du dirigeant vers sa propre adresse électronique, là encore sans information ni accord de l’intéressé.
Poursuivi devant le Tribunal correctionnel puis devant la Cour d’appel, il est condamné pour maintien frauduleux dans un STAD à trois mois d’emprisonnement avec sursis. Devant la Cour de cassation, le salarié soutient qu’il ne peut être déclaré coupable puisqu’il bénéficiait d’une autorisation générale d’accès au système : selon lui, on ne peut « se maintenir frauduleusement » dans un espace où l’on est de toute façon habilité à entrer.
La chambre criminelle rejette ce raisonnement et confirme la condamnation.
2. Accès frauduleux et maintien frauduleux : ce que dit l’article 323-1 du code pénal
L’article 323-1 du code pénal incrimine à la fois l’accès frauduleux et le maintien frauduleux dans un système de traitement automatisé de données, qu’il s’agisse d’un serveur, d’une messagerie, d’un logiciel métier, etc.
Aujourd’hui, le texte prévoit :
- 3 ans d’emprisonnement et 100 000 € d’amende pour le simple fait d’accéder ou de se maintenir frauduleusement dans un STAD ;
- 5 ans d’emprisonnement et 150 000 € d’amende lorsque cette atteinte entraîne la suppression ou la modification de données, ou une altération du fonctionnement du système ;
- 7 ans d’emprisonnement et 300 000 € d’amende lorsque le système appartient à l’État et comporte des données personnelles.
Traditionnellement, on pense à l’accès frauduleux comme à une « intrusion » : un pirate casse un mot de passe, utilise un identifiant usurpé, ou contourne une mesure de sécurité.
Le maintien frauduleux est plus subtil :
- soit la personne est entrée par erreur ou par hasard dans un système auquel elle n’avait pas vocation à accéder et elle y reste malgré tout ;
- soit elle est entrée régulièrement, mais prolonge ou détourne son accès pour un usage qui n’a plus rien à voir avec sa mission.
La jurisprudence avait déjà condamné, par exemple, des salariés qui restaient connectés pendant des heures à un système pour accumuler indûment des points-cadeaux, ou encore un administrateur réseau ayant installé un logiciel espion sur l’ordinateur de son épouse pour surveiller ses échanges privés.
L’élément intentionnel est limité : il n’est pas nécessaire de vouloir nuire à l’entreprise. Il suffit d’avoir conscience du caractère irrégulier de son maintien dans le système.
3. Un accès général à la messagerie n’autorise pas à tout voir
La particularité de l’arrêt du 2 septembre 2025 est que le salarié disposait, en théorie, de tous les droits techniques nécessaires : en tant qu’administrateur réseau, il avait un droit général d’accès à la messagerie de l’entreprise.
La Cour de cassation distingue alors clairement deux choses :
- les droits techniques, qui permettent matériellement d’accéder aux boîtes mail ;
- les droits juridiques, qui encadrent ce que l’on a réellement le droit de faire avec ces accès.
Pour les juges, le maintien devient frauduleux lorsque l’administrateur réseau :
- lit des messages à l’insu de leurs titulaires ;
- le fait à des fins étrangères à sa mission (par exemple, se renseigner sur la stratégie du dirigeant en prévision d’un conflit, ou simplement satisfaire sa curiosité) ;
- met en place en secret un dispositif de surveillance durable, comme un transfert automatique de tous les courriels.
Autrement dit, le droit technique d’entrer dans le système ne vaut pas autorisation illimitée d’y circuler. Dès lors que l’usage s’éloigne de la finalité professionnelle pour laquelle les droits ont été accordés, le maintien dans le STAD devient frauduleux et tombe sous le coup de l’article 323-1.
Cette solution n’est pas isolée : la Cour avait déjà admis qu’un administrateur réseau pouvait se rendre coupable de maintien frauduleux lorsqu’il détournait un logiciel de sécurité pour espionner la messagerie personnelle de son épouse avocate. L’arrêt de 2025, publié au Bulletin, marque cependant une volonté d’affirmer clairement et publiquement cette ligne jurisprudentielle.
4. Quels impacts pour les entreprises, les administrateurs réseau et les salariés ?
Cette décision a des conséquences concrètes pour tous les acteurs de l’entreprise.
Pour les employeurs et dirigeants
- Il est essentiel de définir précisément les missions des administrateurs réseau et les conditions dans lesquelles ils peuvent intervenir sur les messageries : dépannage, gestion des sauvegardes, réponse à un incident de sécurité, exécution d’une décision judiciaire, etc.
- Ces règles doivent être formalisées dans une charte informatique, une politique de sécurité du système d’information (PSSI) ou des procédures internes clairement communiquées aux salariés.
- Les accès techniques très étendus (comptes « admin », accès super-utilisateur, etc.) doivent être encadrés par des contrôles et des traces (journalisation, double validation pour l’ouverture d’une boîte mail, etc.), afin de limiter les risques d’abus et de pouvoir les documenter en cas de litige.
Pour les administrateurs réseau et équipes IT
- L’arrêt rappelle que leurs prérogatives ne sont pas seulement techniques : elles s’accompagnent d’une responsabilité pénale personnelle.
- Même si l’entreprise tolère certains usages informels, le fait de consulter des messages pour des raisons étrangères à la mission (curiosité, préparation d’un conflit, récupération d’informations personnelles, etc.) peut être qualifié de maintien frauduleux dans un STAD.
- En pratique, il est prudent d’exiger un ordre écrit ou une traçabilité (ticket d’intervention, instruction du DSI, décision de la direction) avant toute opération sensible sur les messageries.
Pour l’ensemble des salariés
- L’arrêt montre que la frontière entre vie privée et outils professionnels reste fragile. Un salarié – même dirigeant – ne peut pas se croire totalement à l’abri des regards techniques, mais l’entreprise ne peut pas non plus organiser une surveillance généralisée et invisible.
- En cas de soupçon d’abus de la part d’un administrateur réseau ou d’un collègue, il est possible d’engager des actions disciplinaires, civiles et pénales sur le fondement de l’article 323-1 du code pénal.
A retenir :
Même lorsque le salarié dispose d’un droit général d’accès au système d’information, il commet un délit de maintien frauduleux dans un STAD s’il utilise cet accès pour consulter ou détourner des messages à des fins étrangères à sa mission et à l’insu de leurs auteurs. Les entreprises ont donc tout intérêt à encadrer strictement les droits d’administration, à formaliser les règles d’accès aux messageries et à sensibiliser leurs équipes IT à ce qui constitue, désormais clairement, un véritable « abus de confiance numérique » sanctionné pénalement.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
