France  > Droit privé > Droit social, Droit pénal > Droit du travail 

Dalila Madjid, avocate au barreau de Paris [1]
Octobre 2025

Un salarié exerçant les fonctions d’administrateur réseau, qui bénéficie, de par ses fonctions, d’un droit général d’accès à la messagerie de l’entreprise, ne saurait échapper aux poursuites de délit de maintien dans un système de traitement automatisé de données (STAD), en se prévalant de ce droit, dès lors qu’il a pris connaissance du contenu des messages échangés au sein du réseau, à des fins étrangères à sa mission et à l’insu des titulaires des messages.

C’est qu’a décidé la chambre criminelle de la cour de cassation dans son arrêt du 2 septembre 2025 ( n° 24-83.605 [ [2]).

L’Arrêt de la chambre criminelle de la cour de cassation du 2 septembre 2025

Ledit salarié a formé un pourvoi à l’encontre de l’arrêt de la cour d’appel de Versailles, qui l’a condamné à trois mois d’emprisonnement avec sursis et à régler 10 000 euros de dommages et intérêts au gérant de l’entreprise, et ce pour atteinte à un système de traitement automatisé de données.

La société a déposé plainte avec constitution de partie civile pour des faits d’accès ou maintien frauduleux dans un système de traitement automatisé de données, d’entrave au fonctionnement d’un système automatisé de données, de suppression et modification frauduleuses des données contenues dans un système de traitement automatisé.

Le salarié quant à lui, conteste d’une part, d’avoir été déclaré coupable de maintien frauduleux dans un STAD, alors que « l’infraction de maintien frauduleux dans un système de traitement automatisé de données ne peut être reprochée à la personne qui bénéficiait, au moment dudit maintien, d’une autorisation d’accès à ce système, peu important l’utilisation qui en a été faite.

Qu’en déclarant le salarié coupable de maintien frauduleux dans un système de traitement automatisé de données pour avoir pris connaissance des courriels échangés entre le dirigeant de la société et des tiers à l’insu de ce dernier, lorsqu’elle constatait que le prévenu disposait, en raison de ses fonctions d’administrateur de réseau de la société, d’un accès à la messagerie de son dirigeant, la cour d’appel a violé l’article 323-1 du code pénal ».

Il convient de rappeler qu’aux termes de l’article 323-1 du Code pénal, le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende.

La Chambre criminelle de la cour de cassation approuve le raisonnement des premiers juges qui ont déclaré le salarié coupable de maintien frauduleux dans un STAD.

A savoir que le prévenu, qui est administrateur réseau salarié de la société disposait en raison de sa fonction, des codes permettant d’accéder à la messagerie de tous les salariés de celle-ci, y compris celle de son gérant.

Aussi, les premiers juges ont relevé que : «  les éléments matériels recueillis par les enquêteurs et les déclarations du prévenu établissent qu’il prenait connaissance, de manière occulte, des messages archivés du gérant de la société et qu’il avait conscience du caractère illégal de ses agissements, qu’il avait d’ailleurs installé, la veille de sa mise à pied, et de manière là encore dissimulée, un procédé de transfert automatique des courriels du gérant de la société à destination de sa propre adresse électronique ».

Ainsi, selon les juges : « en prenant connaissance, dans son compte de messagerie, à l’insu du gérant de la société, du contenu des courriels échangés par ce dernier avec des tiers et ce, à des fins étrangères à sa mission, le salarié s’est rendu coupable de l’infraction visée à la prévention, peu important le mobile ayant présidé aux faits ».

D’autre part, le salarié, conteste, aussi, le fait que les premiers juges aient déclaré recevable la constitution de partie civile du gérant de la société en son nom propre, de l’avoir déclaré responsable du préjudice subi par ce dernier et de l’avoir condamné à lui payer la somme de 10 000 euros en indemnisation de son préjudice moral, alors que, selon le salarié « l’action civile n’est recevable devant les juridictions répressives qu’autant que la partie qui l’exerce a souffert d’un dommage personnel directement causé par l’infraction.

Or, l’infraction de maintien frauduleux dans un système de traitement automatisé de données ne porte personnellement et directement préjudice qu’au propriétaire desdites données.

Ainsi, en retenant que l’infraction de maintien frauduleux dans un système de traitement automatisé de données avait causé un préjudice moral direct au gérant de la société, lorsqu’elle constatait que les données auxquelles le prévenu avait pu avoir accès sur la messagerie professionnelle du gérant de la société, ne concernaient que cette société et non des données personnelles appartenant à au gérant, la cour d’appel a violé l’article 2 du code de procédure pénale ».

La Chambre criminelle de la cour de cassation a, de nouveau, rejeté le moyen soutenu par le salarié, et a, au contraire approuvé la cour d’appel pour avoir condamné le salarié à indemniser le préjudice moral subi par le gérant de la société, au motif que notamment le salarié s’est maintenu dans la messagerie personnelle de la partie civile dans ces circonstances, les faits commis au mépris de la confiance que lui accordait le gérant de la société, ont causé directement à ce dernier un préjudice certain et important, évalué à la somme de 10 000 euros.

En effet, selon la Haute juridiction, la Cour d’appel de Versailles « a retenu, à bon droit, que la perte de confiance éprouvée par le gérant de la société, suite aux agissements du salarié, était constitutive d’un préjudice moral découlant directement du délit prévu par l’article 323-1 du code pénal retenu à la charge du prévenu ».

L’arrêt du 2 septembre 2025 rappelle les principes d’une jurisprudence constante en la matière

L’arrêt de la chambre criminelle de la cour de cassation du 2 septembre 2025 s’inscrit dans le prolongement d’une jurisprudence constante en matière d’infraction de maintien frauduleux dans un STAD.

En effet, la chambre criminelle a déjà retenu, à propos d’un administrateur réseau, l’infraction d’accès et de maintien frauduleux lorsque l’intéressé avait détourné ses prérogatives pour capter des données via un logiciel espion (keylogger). Ce comportement étant étranger aux missions de maintenance et de sécurité du parc informatique (Cass. crim. 10 mai 2017 n°16-81822 [3]).

A l’inverse, il a été jugé que lorsque l’intéressé agit dans le périmètre exact de ses habilitations « si l’accédant est parfaitement habilité par ses fonctions à accéder à la partie du système informatique (…) le caractère frauduleux ne peut être retenu », mais la loi punit aussi le fait de « s’y être maintenu frauduleusement y compris lorsqu’on y est entré régulièrement » (Crim. 12 juill. 2016, no 16-82.455 [4]).

Les dispositions de l’article 323-1 du code pénal couvre à la fois et de manière distincte, l’accès et le maintien illicite dans un STAD. Ainsi, le maintien peut être sanctionné même si l’accès initial est régulier. Selon une jurisprudence constante, le « maintien » vise la prolongation consciente et irrégulière de la présence dans le STAD au-delà des droits ou finalités autorisés.

Comme tout délit pénal, l’infraction de maintien frauduleux dans un STAD nécessite un élément moral, à savoir la conscience du caractère irrégulier, qui résulte de la violation des règles d’usages internes, du détournement de finalité ou de la captation de données étrangères aux missions confiées.

Ainsi le fait d’être habilité, n’exonère pas le salarié en cas de maintien irrégulier ou de détournement de finalité.

Les arrêts de la chambre criminelle de la cour de cassation, du 2 septembre 2025, ainsi que celui du 10 mai 2017, illustrent l’infraction de maintien frauduleux dans un STAD lorsque l’usage des outils est étranger à la maintenance et/ou à la sécurité du système.

Par ailleurs, il existe des circonstances aggravantes liées aux dommages et aux systèmes de l’Etat.

En effet, lorsque l’accès ou le maintien a provoqué une suppression ou modification de données ou altération du fonctionnement, la peine est de 5 ans d’emprisonnement et de 150 000 euros d’amende, lorsque l’infraction vise un STAD à caractère personnel mis en œuvre par l’Etat.

En conclusion: Il est recommandé aux entreprises de bien soigner la rédaction de leur charte informatique, de bien définir les périmètres d’habilitation, afin de réduire le risque pénal lié au maintien frauduleux.

(Cass. Crim 2 septembre 2025 n° 24-83.605 [5])