ARTICLE
30 October 2025

Sécurité informatique : un employé condamné pour accès frauduleux

HA
Haas Avocats

Contributor

Haas Avocats logo
HAAS Avocats, a French law firm, defends and protects national and international clients in the fields of French intellectual property, new information and communication technologies, data protection, e-commerce, e-marketing and business law.
Explore Firm Details
L'administrateur réseau d'une société avait consulté des courriels archivés appartenant au gérant et mis en place un...
France Privacy
Haas Avocats
Your Author LinkedIn Connections
Haas Avocats are most popular:
  • within Environment topic(s)

L'administrateur réseau d'une société avait consulté des courriels archivés appartenant au gérant et mis en place un transfert automatique de ses messages vers sa propre adresse électronique, la veille de sa mise à pied. Bien que disposant d'un droit général d'accès à la messagerie dans le cadre de ses fonctions techniques, ces actions ont été jugées comme dépassant le cadre de sa mission.

La société a déposé une première plainte en 2016, ayant conduit à des poursuites du chef de maintien frauduleux dans un système de traitement automatisé de données (STAD)1. Parallèlement, une seconde plainte avec constitution de partie civile en 2019 visait des infractions plus larges, notamment abus de confiance, escroquerie, suppression ou modification frauduleuse de données.

Le tribunal correctionnel ainsi que la Cour d'appel de Versailles ont retenu la qualification de maintien frauduleux, condamnant le salarié à trois mois d'emprisonnement avec sursis2. Le prévenu s'est alors pourvu en cassation.

Décision de la Cour de cassation : le sursis à statuer et le pouvoir souverain des juges du fond

En premier lieu, le prévenu soutenait la nécessité de surseoir à statuer dans l'attente de l'issue d'une information judiciaire parallèle portant sur des faits connexes, et plus spécifiquement sur la suppression et la modification de données.

La Cour écarte cet argument, rappelant que le sursis à statuer relève du pouvoir souverain d'appréciation des juges du fond3.

Par ailleurs, celle-ci précise que l'affaire jugée ne portait que sur la qualification de maintien frauduleux, distincte des autres infractions visées dans l'information judiciaire. De ce qu'il précède, aucune violation du principe « non bis in idem » ne pouvait être retenue, faute de décision définitive.

Infraction de maintien frauduleux dans un système de traitement automatisé de données (STAD)

Le prévenu fait également valoir qu'il ne pouvait être condamné dès lors qu'il disposait d'un accès autorisé au système informatique de la société.

La Cour rejette également cet argument, indiquant que l'existence d'un droit général d'accès n'écarte pas que l'administrateur ait agi à des fins étrangères à sa mission et à l'insu du titulaire des courriels.

La Cour consacre alors une interprétation élargie du délit de maintien frauduleux, admettant que « le salarié qui dispose d'un droit général d'accès ne peut s'en prévaloir lorsqu'il agit à des fins étrangères à sa mission et sans l'accord du titulaire des données ».

Sécurisation des accès informatiques : les obligations des entreprises face au risque de maintien frauduleux

Cette décision vient principalement rappeler qu'un administrateur réseau ou tout collaborateur disposant d'un accès technique privilégié, doit nécessairement respecter les règles de confidentialité de la société.

Autrement dit, un accès légitime devient frauduleux dès lors qu'il est détourné de sa finalité et des missions professionnelles confiées.

Les employeurs doivent donc nécessairement :

  • encadrer strictement les droits d'accès informatiques (charte informatique, procédures internes, etc.) ;
  • assurer une traçabilité des logs et connexions ; et
  • sensibiliser et former les administrateurs et responsables IT aux risques pénaux liés à l'usage de leurs accès.

Administrateurs réseaux et salariés : respecter les limites d'accès aux données

L'arrêt illustre également que l'usage personnel ou dissimulé des accès informatiques peut être assimilé à une intrusion pénale4, et ce même sans piratage.

Les professionnels de l'informatique doivent donc :

  • respecter les limites fonctionnelles de leur mission ;
  • s'abstenir de toute consultation non nécessaire à la maintenance ou à la sécurité du réseau ;
  • signaler toute anomalie à leur hiérarchie plutôt que de choisir d'intervenir de leur propre chef.

La décision consacre ainsi une extension notable de la notion de maintien frauduleux dans un STAD, indépendamment du caractère autorisé de l'accès initial.

Footnotes

1 Article 323-1 du Code pénal

2 Crim. 2 sept. 2025, F-B, n° 24-83.605

3 Civ. 2e, n°14-10.976, 11 mars 2015 : « le sursis à statuer constitue une mesure d'administration judiciaire qui relève du pouvoir discrétionnaire du juge »

4 Article 323-1 du Code pénal

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Haas Avocats
Haas Avocats
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More