Par un arrêt du 2 septembre 2025 (n° 24-83.605), la Cour de cassation confirme la position retenue par la Cour d’appel de Versailles le 2 mai 2024 qui avait condamné l’administrateur réseau d’une société a une peine de trois mois d’emprisonnement avec sursis et reconnu un préjudice moral au profit de la victime.
Les faits et la procédure d’appel
Le « STAD », un système de traitement automatisé de données
Un STAD désigne tous ensemble organisé de moyens informatiques permettant la collecte, le stockage, la modification, la consultation ou la transmission de données numériques.
Il peut s’agir d’un serveur, d’un réseau interne, d’une messagerie professionnelle ou d’une base de données. Les articles 323-1 et suivants du Code pénal sanctionnent les différentes atteintes :
| Article du Code Pénal | Infraction | Élément matériel | Élément moral | Peine encourue |
| 323-1 | Accès ou maintien frauduleux | Intrusion ou refus de déconnexion | Intention frauduleuse | Jusqu’à 7 ans et 300 000 € |
| 323-2 | Entrave au fonctionnement | Altération ou ralentissement du système | Volonté de perturber | Jusqu’à 7 ans et 300 000 € |
| 323-3 | Atteinte aux données | Introduction, suppression ou modification | Intention frauduleuse | Jusqu’à 7 ans et 300 000 € |
| 323-3-1 à 323-4-2 | Outils, association, aggravations | Préparation ou facilitation | Intention ou bande organisée | Jusqu’à 10 ans et 500 000 € |
| 323-5 à 323-8 | Peines complémentaires et exceptions | Interdictions, confiscations | Responsabilité pénale | Variable selon les cas |
La sanction par la Cour d’appel de Versailles de la faute pénale de l’administrateur réseau outrepassant ses fonctions
En février 2016, une société porte plainte contre son ancien administrateur réseau, lequel aurait notamment installé un dispositif de transfert automatique des courriels du gérant vers sa propre adresse électronique, et consulté des messages archivés à des fins personnelles, en dehors de ses attributions.
Selon le salarié, aucune faute ne pouvait être retenu contre lui dès lors qu’il disposait, en raison de ses fonctions d’administrateur réseau de la société d’un accès à la messagerie de son dirigeant. Il pouvait donc prendre connaissance de correspondances à l’insu du dirigeant sans commettre de faute.
Malgré ses fonctions techniques lui conférant un accès étendu au système, la cour d’appel de Versailles a jugé que cette utilisation détournée constituait une infraction à l’article 323-1 du Code pénal.
La cour d’appel a également accueilli la constitution de partie civile de la société et indemnisé le préjudice moral subi par l’employeur.
La confirmation de la Cour de Cassation : le maintien dans le STAD d’un administrateur réseau habilité peut devenir frauduleux et ouvre le droit à des dommages et intérêts
En cassation le prévenu a contesté l’arrêt sur plusieurs points et notamment :
- De l’avoir déclaré coupable de maintien frauduleux dans un système de traitement automatisé de données, alors « que l’infraction de maintien frauduleux dans un système de traitement automatisé de données ne peut être reprochée à la personne qui bénéficiait, au moment dudit maintien, d’une autorisation d’accès à ce système, peu important l’utilisation qui en a été faite ».
- La recevabilité de la constitution de partie civile de la société conduisant à l’octroi de dommages et intérêts.
La Cour de cassation a rejeté ces moyens, estimant que :
- En prenant connaissance des correspondances du dirigeant de la société, « à des fins étrangères à sa mission et à l’insu des titulaires des messages », le titulaire d’un droit général d’accès au STAD commet une faute pénale ;
- La société a subi un préjudice moral « certain et important » du fait de cet accès frauduleux du salarié, caractérisé par une perte de confiance. Ce préjudice a justement été indemnisé par la Cour d’appel de Versailles à hauteur de 10.000 euros.
Source : Cour de cassation – 2 septembre 2025 – Pourvoi n° 24-83.605Cour d’appel de Versailles, 9e chambre, 2 mai 2024