Même lorsqu’il dispose d’un accès général à la messagerie de l’entreprise, l’administrateur réseau qui consulte des courriels pour des raisons étrangères à sa mission commet une infraction pénale de « maintien frauduleux » dans un système informatique (art. 323-1 du Code pénal). C’est la précision importante apportée par la Cour de cassation le 2 septembre 2025. Une alerte forte pour les DSI, dirigeants et RH sur l’encadrement des droits techniques d’accès et des contrôles internes.
1. Les faits en bref : un accès technique… détourné de sa finalité
Dans cette affaire, un salarié, administrateur du réseau de son entreprise, détenait les codes permettant d’accéder à la messagerie de l’ensemble des collaborateurs, y compris celle du gérant. Au-delà de ses besoins professionnels, il a consulté des messages archivés et mis en place — la veille de sa mise à pied — un transfert automatique des e-mails du dirigeant vers sa propre adresse. Poursuivi pour maintien frauduleux dans un système de traitement automatisé de données (STAD), il a été condamné à trois mois d’emprisonnement avec sursis. La cour d’appel ayant confirmé la culpabilité, l’intéressé a formé un pourvoi… rejeté par la Cour de cassation.
Ce qui change (ou plutôt se clarifie) : le fait d’avoir un « droit général d’accès » ne protège pas si l’usage est détourné. L’infraction est caractérisée dès lors que l’agent se maintient dans le système pour prendre connaissance de messages à l’insu des titulaires et à des fins étrangères à sa mission. Peu importe le mobile invoqué
2. Le cadre juridique rendu lisible : l’article 323-1 du Code pénal appliqué au quotidien
L’article 323-1 du Code pénal réprime « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ». Deux éléments sont donc à retenir :
- L’accès ou le maintien « frauduleux » : il n’est pas réservé aux pirates externes. L’infraction peut viser un interne habilité s’il dépasse ses attributions ou outrepasse la finalité de son accès. La Haute juridiction confirme que l’illégalité naît du détournement de finalité (lecture de messages hors mission) et du caractère occulte (à l’insu des titulaires).
- Le « maintien » : il suffit de rester dans le système pour consulter des données sans droit, même si l’entrée était techniquement possible et non verrouillée. Autrement dit, un mot de passe connu n’est pas un passe-droit.
La décision du 2 septembre 2025, publiée au Bulletin, s’inscrit dans une ligne jurisprudentielle déjà ancienne : un accès techniquement possible n’est pas nécessairement juridiquement autorisé. La Cour réaffirme que l’administrateur réseau n’a pas un privilège absolu ; ses droits techniques doivent rester strictement cantonnés à sa mission (maintenance, sécurité, continuité de service), avec un usage proportionné et documenté.
A retenir :
La Cour de cassation rappelle une règle simple et protectrice pour tous — un accès technique n’est pas une autorisation sans limite. Les fonctions d’administration sont indispensables à la sécurité et à la continuité d’activité, mais elles doivent rester finalisées, proportionnées, tracées et contrôlées. Faute de quoi, l’entreprise s’expose à des risques importants et l’auteur à des poursuites pénales.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
