Admin réseau & messagerie : maintien frauduleux (art. 323-1) confirmé en 2025

1. Résumé succinct

Parties. M. [B] [L] (administrateur réseau salarié) c/ société [1] et M. [E] [G] (gérant, partie civile).

Juridiction. Cour de cassation, chambre criminelle (formation restreinte), 2 septembre 2025, n° 24-83.605, rejet, 

Nature du litige. Délit de maintien frauduleux dans un système de traitement automatisé de données (STAD) (art. 323-1 C. pén.) du fait de consultations occultes de la messagerie du gérant par l’admin réseau.

Effet pratique. Confirmation que l’admin réseau qui détourne son droit d’accès à des fins étrangères à sa mission se rend coupable du délit de l’article 323-1, même s’il dispose d’un droit général d’accès à la messagerie.

2.Analyse détaillée

Les faits 

24 févr. 2016. Plainte de la société [1] (abus de confiance, vol, intrusions/entraves STAD, propos antisémites), visant principalement M. [L], alors administrateur réseau.

Enquête préliminaire → citation directe pour maintien frauduleux dans un STAD.

22 févr. 2019. Nouvelle plainte avec constitution de partie civile (accès/maintien frauduleux, entrave, suppression/modification de données, entente en vue d’atteintes 323-1 à 323-3, abus de confiance, escroquerie).

16 oct. 2019. JI : irrecevabilité de cette plainte (poursuites déjà engagées pour maintien frauduleux).

12 nov. 2020. Chambre de l’instruction : recevable pour le surplus (hors maintien frauduleux).

1er juill. 2021. T. corr. renvoie au parquet (complexité/connexité). Appel du parquet.

2 mai 2024. CA Versailles (9e ch.) : culpabilité pour maintien frauduleux ; 3 mois sursis ; indemnisation du préjudice moral du gérant (10 000 €).

Pourvoi de M. [L]. Audience à la Cour de cassation le 3 juin 2025 ; arrêt de rejet le 2 sept. 2025.
Comportement reproché. L’admin réseau, détenteur des codes d’accès généraux, a consulté en secret les courriels du gérant et mis en place un transfert automatique de ses e-mails vers sa propre adresse, à l’insu de l’intéressé et à des fins étrangères à sa mission.

La procédure 

Première instance : renvoi au parquet (complexité/connexité).

Appel : la CA écarte le sursis à statuer demandé (en raison d’une information pénale parallèle sur suppression/modification de données) et déclare coupable pour maintien frauduleux ; alloue 10 000 € au gérant pour préjudice moral.

Cassation : rejet des trois moyens (sursis / ne bis in idem et droits de la défense ; éléments constitutifs du maintien frauduleux malgré droit d’accès ; recevabilité et préjudice moral de la partie civile).

Contenu de la décision de la Cour de cassation

Arguments du demandeur :

(1) Sursis à statuer : risque de double poursuite/qualification (suppression/modification comme circonstance aggravante du maintien) ⇒ ne bis in idem ; atteinte aux droits de la défense.

(2) Élément légal : l’admin réseau autorisé ne saurait commettre un « maintien frauduleux » ; il avait un droit d’accès.

(3) Action civile : le préjudice personnel du gérant serait inexistant si les données consultées sont professionnelles.

Raisonnement de la chambre criminelle :

Sursis/ne bis in idem. Inopérant : aucune décision définitive invoquée et la CA n’était saisie que d’une seule qualification (maintien). L’information pénale distincte sur la suppression/modification n’imposait pas le sursis.

Élément matériel et intentionnel (art. 323-1). Se rend coupable celui qui se maintient dans un STAD en prenant connaissance des messages à des fins étrangères à sa mission et à l’insu des titulaires, même s’il dispose d’un droit général d’accès comme admin réseau.

Action civile. Préjudice moral direct du gérant caractérisé (perte de confiance personnelle du fait du maintien dans sa messagerie personnelle/pro), indemnisé à 10 000 €.

Solution. Rejet du pourvoi ; confirmation de la culpabilité (art. 323-1 C. pén.) et des dommages-intérêts.

3. Références juridiques 

3.1 Jurisprudence 

Cass. crim., 2 sept. 2025, n° 24-83.605 — Rejet, publié au Bulletin.

Cass. crim., 10 mai 2017, n° 16-81.822 — Inédit (messagerie d’une associée/épouse ; admin réseau ; maintien frauduleux caractérisé malgré un accès technique).

Cass. crim., 8 juin 2021, n° 20-85.853 — Publié (suppression de données, art. 323-3 ; rappel de la fraude quand l’acte est dissimulé à un autre utilisateur).

Cass. crim., 7 janv. 2020, n° 18-84.755 — Publié (atteintes STAD ; hypothèse inverse : pas de fraude si le seul titulaire des droits supprime des données sans dissimulation ; utile en contraste).

3.2 Textes légaux 

Article 323-1 du code pénal (version en vigueur depuis le 26 janv. 2023) :
« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende. »

4. Analyse juridique approfondie

Apport de l’arrêt (2025).

La chambre criminelle verrouille la qualification de maintien frauduleux lorsque l’admin réseau :

(1) exploite son accès général à la messagerie à des fins étrangères à sa mission ;

(2) à l’insu du titulaire des messages ;

(3) prend effectivement connaissance du contenu des messages.

La licéité initiale de l’accès technique n’exonère pas pénalement : la fraude découle de l’usage (finalité et clandestinité), non du seul statut technique d’admin.

Cohérence avec la jurisprudence antérieure.

2017 (n° 16-81.822) : déjà admis que l’admin réseau qui détourne un outil (keylogger/messagerie) se maintient frauduleusement (finalité extra-professionnelle, à l’insu de l’utilisatrice). 

2021 (n° 20-85.853) & 2020 (n° 18-84.755) : en matière de suppression/modification (art. 323-3), la chambre criminelle centre la fraude sur la dissimulation à un autre utilisateur ; à rebours, absence de dissimulation chez l’unique titulaire de droits peut exclure la fraude. L’arrêt 2025 transpose l’exigence de clandestinité/finalité dévoyée au terrain du maintien (art. 323-1).

Action civile — préjudice moral individuel.

La Cour valide l’indemnisation du préjudice moral personnel du gérant, distinct de l’atteinte à l’entreprise : perte de confiance causée par l’intrusion clandestine dans sa messagerie. Signal fort : l’atteinte au secret des communications en milieu pro peut générer un préjudice propre au titulaire, même si des données étaient professionnelles.

Conséquences pratiques (RG & conformité interne).

Les chartes IT doivent borner les droits d’admin, journaliser les accès, prohiber tout accès sans finalité opérationnelle et sans information de l’utilisateur concerné.

Les procédures internes doivent prévoir traçabilité, délégation encadrée, double-contrôle pour les actes intrusifs (maintenance, sécurité).

Risque pénal personnel pour l’admin (art. 323-1) et risque indemnitaire envers le titulaire de la messagerie.

5. Accompagnement personnalisé

Vous souhaitez sécuriser vos politiques d’accès IT (employeurs), défendre un salarié/administrateur ou chiffrer un préjudice moral en cas d’intrusion ?

La SELARL Philippe GONET (Saint-Nazaire) peut : audit RG-IT, charte et procédures, contentieux pénal/disciplinaires, actions en responsabilité et réparation du préjudice moral.