Par Haas Avocats
L’administrateur réseau d’une société avait consulté des courriels archivés appartenant au gérant et mis en place un transfert automatique de ses messages vers sa propre adresse électronique, la veille de sa mise à pied. Bien que disposant d’un droit général d’accès à la messagerie dans le cadre de ses fonctions techniques, ces actions ont été jugées comme dépassant le cadre de sa mission.La société a déposé une première plainte en 2016, ayant conduit à des poursuites du chef de maintien frauduleux dans un système de traitement automatisé de données (STAD)[1]. Parallèlement, une seconde plainte avec constitution de partie civile en 2019 visait des infractions plus larges, notamment abus de confiance, escroquerie, suppression ou modification frauduleuse de données.
Le tribunal correctionnel ainsi que la Cour d’appel de Versailles ont retenu la qualification de maintien frauduleux, condamnant le salarié à trois mois d’emprisonnement avec sursis[2]. Le prévenu s’est alors pourvu en cassation.
En premier lieu, le prévenu soutenait la nécessité de surseoir à statuer dans l’attente de l’issue d’une information judiciaire parallèle portant sur des faits connexes, et plus spécifiquement sur la suppression et la modification de données.
La Cour écarte cet argument, rappelant que le sursis à statuer relève du pouvoir souverain d’appréciation des juges du fond[3].
Par ailleurs, celle-ci précise que l’affaire jugée ne portait que sur la qualification de maintien frauduleux, distincte des autres infractions visées dans l’information judiciaire. De ce qu’il précède, aucune violation du principe « non bis in idem » ne pouvait être retenue, faute de décision définitive.
Le prévenu fait également valoir qu’il ne pouvait être condamné dès lors qu’il disposait d’un accès autorisé au système informatique de la société.
La Cour rejette également cet argument, indiquant que l’existence d’un droit général d’accès n’écarte pas que l’administrateur ait agi à des fins étrangères à sa mission et à l’insu du titulaire des courriels.
La Cour consacre alors une interprétation élargie du délit de maintien frauduleux, admettant que « le salarié qui dispose d’un droit général d’accès ne peut s’en prévaloir lorsqu’il agit à des fins étrangères à sa mission et sans l’accord du titulaire des données ».
Cette décision vient principalement rappeler qu’un administrateur réseau ou tout collaborateur disposant d’un accès technique privilégié, doit nécessairement respecter les règles de confidentialité de la société.
Autrement dit, un accès légitime devient frauduleux dès lors qu’il est détourné de sa finalité et des missions professionnelles confiées.
Les employeurs doivent donc nécessairement :
L’arrêt illustre également que l’usage personnel ou dissimulé des accès informatiques peut être assimilé à une intrusion pénale[4], et ce même sans piratage.
Les professionnels de l’informatique doivent donc :
La décision consacre ainsi une extension notable de la notion de maintien frauduleux dans un STAD, indépendamment du caractère autorisé de l’accès initial.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article 323-1 du Code pénal
[2] Crim. 2 sept. 2025, F-B, n° 24-83.605
[3] Civ. 2e, n°14-10.976, 11 mars 2015 : « le sursis à statuer constitue une mesure d’administration judiciaire qui relève du pouvoir discrétionnaire du juge »
[4] Article 323-1 du Code pénal