Le 2 septembre 2025, la chambre criminelle de la Cour de cassation a précisé qu’un administrateur réseau se rendait coupable d’accès frauduleux lorsqu’il exploitait son droit technique d’accès à des fins étrangères à sa mission. Cet arrêt illustre la fermeté croissante des juridictions face aux atteintes aux systèmes de traitement automatisé de données. En 2024, les plaintes pour intrusions informatiques ont progressé de plus de 20 % selon les données du ministère de l’Intérieur. La qualification pénale repose sur les articles 323-1 et suivants du code pénal. Ces textes prévoient des peines allant jusqu’à sept ans d’emprisonnement lorsque le système visé appartient à l’État. Comprendre les éléments constitutifs, les circonstances aggravantes et les voies de défense disponibles constitue le premier réflexe lorsque l’on est convoqué par la police judiciaire ou mis en examen pour ces faits.
Qu’est-ce que l’accès frauduleux à un système informatique ?
L’article 323-1 du code pénal définit l’infraction (texte officiel).
« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende. »
Le système de traitement automatisé de données désigne tout dispositif permettant de stocker, traiter ou transmettre des informations numériques. Il s’agit d’ordinateurs, de serveurs, de réseaux internes, de messageries électroniques ou de bases de données. L’infraction vise deux comportements distincts : l’accès initial frauduleux et le maintien dans le système alors que l’on n’y est plus autorisé. La Cour de cassation a jugé que l’installation d’un keylogger caractérisait la mauvaise foi et les délits dans leur élément matériel et intentionnel.
Cass. crim., 16 janvier 2018, n° 16-87.168 (décision), motifs : « l’installation d’un keylogger, sans motif légitime, par M. Y…, que celui-ci ne conteste pas avoir installé sur l’ordinateur des docteurs E… et C…, pour intercepter à leur insu, par l’espionnage de la frappe du clavier, les codes d’accès et accéder aux courriels échangés par les deux praticiens, caractérise suffisamment sa mauvaise foi et les délits tant dans leur élément matériel qu’intentionnel ».
Les éléments constitutifs du délit
L’élément matériel
L’élément matériel consiste dans l’accès ou le maintien dans un système de traitement automatisé de données. Il n’est pas nécessaire que l’intrusion entraîne un dommage matériel ou une suppression de données. Le simple fait de pénétrer dans un système sans autorisation suffit. La Cour de cassation a validé la qualification lorsqu’un salarié s’est octroyé des droits illégitimes sur le serveur de son employeur.
CA Fort-de-France, 30 juin 2025, n° 24/00100 (décision), motifs : « la société d’art graphique constatait que M. [G] [U] s’était octroyé des droits ainsi que le contrôle des systèmes informatiques de la société ».
L’élément moral
L’élément moral exige la mauvaise foi de l’auteur, c’est-à-dire la conscience d’agir sans autorisation. La jurisprudence exige que le prévenu sache qu’il n’a pas le droit d’accéder au système. L’erreur de bonne foi sur la légalité de l’accès peut constituer une cause d’exonération. Le maintien frauduleux est caractérisé lorsque l’auteur, après s’être introduit dans le système à la suite d’une défaillance technique, a constaté l’existence d’un contrôle d’accès et s’est maintenu malgré tout.
Le cas particulier de l’administrateur réseau
Un administrateur réseau dispose souvent d’un droit général d’accès en raison de ses fonctions. Il peut néanmoins se rendre coupable d’accès frauduleux s’il exploite ce droit à des fins étrangères à sa mission. La Cour de cassation l’a affirmé dans son arrêt du 2 septembre 2025, n° 24-83.605, en relevant qu’un tel comportement viole les limites du consentement donné par l’employeur.
Les peines encourues selon la nature de l’infraction
| Infraction | Système standard | Système de l’État |
|---|---|---|
| Accès ou maintien frauduleux (art. 323-1) | 3 ans et 100 000 € | 7 ans et 300 000 € |
| Suppression ou modification de données (art. 323-1, al. 2) | 5 ans et 150 000 € | 7 ans et 300 000 € |
| Entrave ou falsification du fonctionnement (art. 323-2) | 5 ans et 150 000 € | 7 ans et 300 000 € |
| Introduction ou extraction frauduleuse de données (art. 323-3) | 5 ans et 150 000 € | 7 ans et 300 000 € |
| Tentative (art. 323-7) | Mêmes peines | Mêmes peines |
L’article 323-2 du code pénal (texte officiel) réprime le fait d’entraver ou de fausser le fonctionnement d’un système. L’article 323-3 (texte officiel) punit l’introduction, l’extraction, la détention, la reproduction, la transmission, la suppression ou la modification frauduleuse des données. La tentative de ces délits est punie des mêmes peines en vertu de l’article 323-7 (texte officiel).
Les défenses possibles
L’absence d’élément intentionnel
La défense principale consiste à démontrer l’absence de mauvaise foi. Si l’accès résulte d’une erreur technique, d’une défaillance du système de sécurité ou d’une méconnaissance des limites de l’autorisation consentie, la qualification pénale doit être écartée. La Cour de cassation a ainsi cassé une condamnation lorsque les juges n’avaient pas établi que le prévenu savait qu’il dépassait le cadre de son autorisation.
Le consentement de la victime
Lorsque le titulaire du système a donné son accord à l’accès ou à la modification des données, l’infraction est inconcevable. La Cour de cassation a jugé que l’infraction prévue à l’article 323-3 ne saurait être reprochée à celui qui agit avec un accès légitime.
Cass. crim., 7 janvier 2020, n° 18-84.755 (décision), motifs : « Les juges en déduisent que l’infraction prévue à l’article 323-3-1 du code pénal ne saurait être reprochée à la personne qui, bénéficiant des droits d’accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d’éventuels autres utilisateurs du système ».
L’exercice d’un droit
Dans certains cas, l’accès au système peut s’inscrire dans l’exercice d’un droit reconnu par la loi. Cette voie reste étroite. Elle exige que l’accès soit proportionné au but poursuivi et qu’il ne vise ni la dissimulation ni la destruction de données.
Procédure et délais en cas de mise en cause
La procédure applicable est la procédure pénale classique. L’auteur présumé peut être placé en garde à vue pour une durée maximale de vingt-quatre heures, renouvelable une fois. La comparution immédiate est fréquente lorsque les faits sont établis et que l’auteur a été interpellé en flagrant délit. Le délai de prescription de l’action publique est de trois ans pour les délits prévus aux articles 323-1 à 323-3. La constitution de partie civile permet à la victime de demander réparation de son préjudice devant le tribunal correctionnel.
Quelques exemples de mise en application
La jurisprudence récente illustre la diversité des situations susceptibles de donner lieu à une condamnation. Les tribunaux sanctionnent régulièrement le salarié qui consulte des fichiers confidentiels en dehors de ses attributions. Ils condamnent également l’ex-conjoint qui accède aux messages électroniques de son ancien partenaire. L’activiste qui pénètre dans des serveurs gouvernementaux encourt les mêmes peines. Chaque cas exige une analyse factuelle précise pour déterminer si l’accès ou le maintien dans le système relève bien d’un comportement frauduleux au sens de l’article 323-1 du code pénal. Notre cabinet défend les intéressés devant le tribunal correctionnel de Paris et en Île-de-France. Retrouvez notre expertise en droit pénal à Paris.
FAQ
Quelle est la peine maximale pour un accès frauduleux à un ordinateur ?
La peine maximale est de trois ans d’emprisonnement et de 100 000 € d’amende pour un système standard. Elle passe à sept ans et 300 000 € lorsque le système traite des données à caractère personnel mise en œuvre par l’État.
Peut-on être condamné sans avoir causé de dommage ?
Oui. Le délit d’accès frauduleux est constitué dès lors que l’accès ou le maintien dans le système est réalisé sans autorisation, indépendamment de tout dommage causé aux données ou au fonctionnement du système.
Un salarié peut-il être poursuivi pour avoir consulté des fichiers professionnels ?
Oui, si la consultation dépasse le cadre de ses attributions et qu’il agit à l’insu de son employeur. La Cour de cassation a validé des condamnations dans de tels cas, notamment lorsque le salarié s’est octroyé des droits d’administration illégitimes.
Quel délai dispose le parquet pour agir ?
Le délai de prescription est de trois ans à compter de la commission des faits. Ce délai court à partir du jour où l’infraction a été commise ou du dernier acte constitutif en cas d’infraction continue.
La tentative est-elle punissable ?
Oui. L’article 323-7 du code pénal prévoit que la tentative des délits visés aux articles 323-1 à 323-3-1 est punie des mêmes peines que le délit consommé.
Que faire si l’on est convoqué par la police pour des faits d’intrusion informatique ?
Il est impératif de solliciter l’assistance d’un avocat dès la première convocation. Aucune déclaration ne doit être faite sans conseil, car les éléments intentionnels se déduisent souvent des déclarations de l’intéressé. Pour les entreprises victimes d’intrusions, notre article détaille la marche à suivre pour porter plainte sous 72 heures.
Spécificités de la procédure à Paris et en Île-de-France
Le tribunal judiciaire de Paris dispose d’une chambre dédiée aux affaires cybercriminelles. Les enquêtes sont souvent menées par la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) ou la gendarmerie. Les délais de jugement varient entre six et douze mois selon la complexité technique du dossier. La constitution d’une partie civile par une entreprise victime nécessite la production d’un audit informatique détaillé.
Besoin d’un avis rapide sur votre dossier ?
Vous êtes convoqué par la police judiciaire, placé en garde à vue ou mis en examen pour accès frauduleux à un système informatique. Notre cabinet vous propose une consultation téléphonique en 48 heures avec un avocat pénaliste.
Contactez-nous au 06 89 11 34 45 ou via notre formulaire en ligne.
Cabinet d’avocats à Paris et en Île-de-France.
