Cybersécurité / sources : l’Usine Digitale
Dans une affaire du 2 septembre 2025, la chambre criminelle de la Cour de cassation a statué sur le maintien frauduleux dans un système d’information (ou Système de Traitement Automatisé de Données) par l’administrateur réseau de l’entreprise qui avait notamment procédé à des consultations non autorisées de la messagerie professionnelle du dirigeant de cette dernière. Me Eric A. Caprioli, du cabinet d’avocats Caprioli & Associés analyse les implications de cette décision dans le domaine de la cybersécurité.
Depuis la fameuse loi n°88-19 du 5 janvier 1988 dite « loi Godfrain », les atteintes aux systèmes d’information sont réprimées par les articles 323-1 et suivants du code pénal. D’ailleurs, ces infractions sont reprises dans le cadre de la convention du Conseil de l’Europe sur la cybercriminalité du 23 novembre 2001 (STE n°185, dite Convention de Budapest).
Aux termes de l’article 323-1, alinéa 1er du code pénal : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende ».
On peut constater que deux délits distincts résultent de ces dispositions : l’accès et le maintien frauduleux. En effet, il est possible d’accéder à un système d’information de manière licite ou frauduleusement ; seul ce dernier accès est réprimé par la loi. En revanche, pour se maintenir dans un système d’information, encore faut-il y avoir accès.
Dans cette situation, il convient de distinguer la maintien licite et le maintien frauduleux. Les autres articles relatifs aux atteintes aux SI traitent des divers modes opératoires qui permettent la réalisation des fraudes numériques, tels que par ex. l’entrave ou le faussement du fonctionnement d’un Système d’Information, l’interception, l’extraction ou la reproduction de données ou la modification de données, en bande organisée ou non, etc.
La Chambre criminelle de la Cour de cassation s’est prononcée le 2 septembre 2025 dans une affaire concernant l’infraction de maintien frauduleux dans un système de traitement automatisé des données (STAD) en vertu de l’article 323-1 du code pénal. En l’espèce, il s’agissait de faits commis par l’administrateur réseau de l’entreprise.
Ce salarié avait pris connaissance du contenu des messages échangées au sein du réseau, à des fins étrangères à sa mission et à l’insu du titulaire des messages. Les faits en cause concernaient notamment des consultations non autorisées de la messagerie professionnelle du dirigeant. De plus, il avait installé un procédé de transfert automatique des courriels du dirigeant à destination de sa propre adresse électronique de façon dissimulée.
A l’origine la plainte portait sur des faits d’abus de confiance, vol, intrusion, entrave à un STAD et propos antisémites visant l’administrateur réseau. Puis par la suite, les poursuites se sont fondées sur les articles 323-1, 323-2 et 323-3 du code pénal, sur l’escroquerie et l’abus de confiance. La société a déposé une plainte, se constituant notamment partie civile pour le gérant victime directe de ces agissements du salarié.
L’arrêt relève que l’administrateur disposait d’un accès technique, c’est-à-dire des codes permettant d’accéder à la messagerie de tous les salariés de la société. Mais, il ne pouvait se prévaloir de droits illimités dès lors qu’il agissait à des fins étrangères à sa mission initiale. La Cour de cassation indiquait que la prise de connaissance « du contenu des messages » caractérisait l’infraction de maintien dans un STAD.
La CA de Versailles l’ayant déclaré coupable, la Cour de cassation confirme cette décision au motif qu’en dépit de l’accès licite dans un système d’information, cela n’emportait pas un droit de se maintenir dans celui-ci, et que ces faits sont sanctionnés par l’article 323-1 du code pénal.
Par ailleurs, l’administrateur réseau a été condamné à verser la somme de 10 000 euros en raison du préjudice moral subi par le gérant du fait de la « perte de confiance éprouvée ».
Inversement à l’accès au SI où la faute se caractérise plus facilement, le maintien frauduleux diffère en ce qu’il suppose préalablement un accès autorisé. Cependant, en réaffirmant la distinction entre accès et maintien frauduleux, la Cour de cassation opère un rappel fondamental en matière de limites strictes dans les prérogatives des collaborateurs habilités tels que les administrateurs. Fort justement, un administrateur réseau ne peut consulter et faire usage de messageries sans disposer de l’autorisation nécessaire et ce même s’il détient les identifiants.
Cette décision demeure dans la continuité de la jurisprudence précédente de la Haute Cour et incite fortement les entreprises à renforcer les modalités de gestion des habilitations et éventuellement de prévoir un contrôle sur les différents administrateurs avec par exemple la désignation d’un « super administrateur ».
De plus, il est important, outre la charte informatique applicable à tous, de bien rédiger la charte administrateur applicable à ce type de salariés disposant de super pouvoirs, mais également astreint à de super responsabilités.
Ceci implique que la notion de « droit d’accès général » doit être soumise elle-même à des limites et à un contrôle strict de sorte que la preuve d’une défaillance ou d’une faute puisse être rapportée en cas de litige avec un administrateur.
Dirigeants, l’équipe de l’Entreprise Numérique se tient à votre écoute pour échanger sur les mesures préventives à mettre en œuvre… Contactez nous !
Retrouvez notre revue de presse dans la rubrique actualités !