Droit général d’accès à une messagerie de l’administrateur réseau et maintien frauduleux dans un STAD

Le salarié qui dispose d’un droit général d’accès à la messagerie des salariés de la société, en sa qualité d’administrateur réseau, ne saurait se prévaloir de ce droit pour échapper aux poursuites du chef de maintien frauduleux lorsqu’il se maintient sur le système automatisé de traitement de données (STAD) en prenant connaissance du contenu des messages échangés au sein du réseau, à des fins étrangères à sa mission et à l’insu des titulaires des messages.

Le contexte de l’affaire est le suivant : administrateur réseau d’une société, le prévenu aurait consulté des courriels archivés sur la messagerie électronique du gérant de la société et aurait installé, la veille de sa mise à pied, un procédé de transfert automatique des courriels du gérant à destination de son adresse électronique.

Une première plainte est déposée par la société en 2016, de divers chefs (not., abus de confiance, vol, intrusion, entrave à un système de traitement automatisé de données). Après enquête préliminaire, le prévenu est cité devant le tribunal correctionnel du chef de maintien frauduleux dans un système de traitement automatisé de données (ci-après « STAD »).

En parallèle, la société a déposé une plainte avec constitution de partie civile en 2019, à l’encontre du prévenu, de plusieurs chefs (accès ou maintien frauduleux dans un STAD, suppression et modification frauduleuses des données contenues dans un STAD, abus de confiance, escroquerie, etc.). Cette plainte est déclarée irrecevable en ce qui concerne le chef de maintien frauduleux dans un STAD, et recevable pour le surplus.

De retour sur le premier volet, ayant fait l’objet d’une citation par le parquet, le tribunal correctionnel a renvoyé le dossier au ministère public au regard de la complexité de l’affaire et de la connexité de la procédure avec l’information judiciaire susmentionnée, toujours en cours.

Sur appel du ministère public, la Cour d’appel de Versailles a rejeté la demande de sursis à statuer formulée par le prévenu jusqu’à l’issue de l’information judiciaire toujours en cours, l’a condamné à trois mois d’emprisonnement avec sursis du chef de maintien frauduleux dans un STAD, et a prononcé sur les intérêts civils.

Le prévenu a formé un pourvoi en cassation fondé sur plusieurs moyens qui sont rejetés par les juges du quai de l’Horloge. En particulier :

  • en premier lieu, le pourvoi critique l’arrêt pour avoir rejeté la demande de sursis à statuer au motif, d’une part, que ce refus constitue une violation du principe ne bis in idem et de l’article 4 du Protocole 7 à la Convention européenne des droits de l’homme, dans la mesure où la suppression ou la modification des données dans un STAD (infraction dont était saisie le magistrat instructeur) constituait une circonstance aggravante de l’infraction de maintien frauduleux dans un STAD (poursuivie devant la juridiction de jugement) ; d’autre part, que le sursis à statuer était nécessaire pour préserver les droits de la défense compte tenu du lien étroit entre les infractions en cause et que la cour n’avait pas répondu à ses conclusions sur ce point ; la Haute juridiction rejette le moyen, répondant que le grief relatif au principe ne bis in idem est inopérant dès lors que le prévenu n’invoque aucune décision définitive, que les juges du fond n’étaient saisis que d’une seule qualification distincte et que le sursis à statuer relevait alors du pouvoir souverain d’appréciation de la juridiction ;
  • en second lieu, s’agissant de la caractérisation de l’infraction de maintien frauduleux dans un STAD, le pourvoi fait grief à l’arrêt d’en avoir déclaré le prévenu coupable alors que cette infraction ne pourrait être reprochée à la personne qui bénéficie d’une autorisation d’accès au système, indépendamment de l’utilisation qui en est faite ; la Cour rejette également ce moyen, au motif qu’en prenant connaissance du contenu des messages échangés au sein du réseau, le prévenu a agi à des fins étrangères à sa mission et à l’insu des titulaires, en dépit de son droit d’accès au réseau en qualité d’administrateur réseau ;
  • en troisième lieu, le pourvoi critique la constatation de recevabilité de la constitution de partie civile du gérant de la société en son nom propre, alors que les données auxquelles le prévenu avait pu avoir accès ne concernaient selon lui que la société ; les juges du quai de l’Horloge rejettent ce moyen, la perte de confiance éprouvée par le gérant à la suite des agissements du prévenu étant selon eux bien constitutive d’un préjudice moral direct et certain.

Les premier et deuxième apports de cette décision, publiée au Bulletin, méritent l’intérêt des présentes colonnes, qui mettront en exergue à la fois le pouvoir souverain des juges du fond en matière de sursis à statuer et l’application élargie de l’infraction de maintien frauduleux dans un STAD.

Le pouvoir souverain des juges du fond en matière de sursis à statuer

Le sursis à statuer constitue une mesure procédurale permettant à une juridiction saisie de suspendre temporairement sa décision sur le fond.

En procédure civile, cet incident d’instance fait l’objet d’une définition légale comme une décision qui « suspend le cours de l’instance pour le temps ou jusqu’à la survenance de l’événement qu’elle détermine » (C. pr. civ., art. 378). Les textes de nature pénale, quant à eux, ne définissent pas à proprement parler le sursis à statuer, mais visent, comme en procédure civile, quelques cas spécifiques de sursis à statuer obligatoires – par exemple lorsqu’au cours d’une audience, une pièce est arguée de faux (C. pr. pén., art. 646), en matière de dénonciation calomnieuse dans l’attente de l’issue des poursuites à l’encontre du fait dénoncé (C. pén., art. 226-11), ou encore lorsque le juge sollicite l’avis de la Cour de cassation (C. pr. pén., art. 706-65) – ou facultatifs, comme en présence d’une requête en récusation (C. pr. pén., art. 670) ou dans le cadre de l’exécution d’un mandat d’arrêt européen (C. pr. pén., art. 695-42) ou des décisions de confiscation de biens prononcées par les juridictions d’un autre État membre (C. pr. pén., art. 713-17).

En dehors des cas où le sursis est prévu par la loi, il ressort d’une jurisprudence ancienne que les juges saisis peuvent l’ordonner de manière facultative, relevant de leur pouvoir souverain d’appréciation. La chambre criminelle a notamment développé des solutions pour permettre de concilier aussi bien plusieurs phases distinctes d’une même procédure pénale (entre une requête en nullité et un renvoi devant une juridiction de jugement, v. Crim. 6 janv. 1999, n° 98-86.332 P, D. 1999. 66 ) que deux procédures distinctes, l’une pénale et l’autre non. Elle considère ainsi notamment que dans le cadre de procédures administrative et pénale pendantes, le juge peut, dans l’exercice de son pouvoir souverain, surseoir à statuer en cas de risque sérieux de contrariété de décisions, à condition de motiver spécialement sa décision (v. par ex., en matière fiscale, Crim. 11 sept. 2019, n° 18-81.980 P, Dalloz actualité, 1er oct. 2019, obs. S. Fucini ; AJ pénal 2019. 562, obs. J. Lasserre Capdeville ; ibid. 564, obs. M. Lassalle ; Rev. sociétés 2020. 251, note J.-H. Robert ; RSC 2020. 123, obs. R. Parizot ; 7 févr. 2024, n° 22-85.605, inédit ; ou en matière d’urbanisme, 4 juin 2024, n° 23-83.796, inédit).

En l’espèce, la chambre criminelle confirme le refus de la cour d’appel de surseoir à statuer jusqu’à l’issue de l’information judiciaire toujours en cours. Pour ce faire, elle s’appuie sur le pouvoir souverain des juges du fond quant à l’appréciation du sursis à statuer, et rappelle que la saisine de ces derniers était limitée aux faits de maintien dans un STAD, alors que le juge d’instruction restait saisi de tous les autres faits visés à la plainte avec constitution de partie civile, les deux procédures étant indépendantes.

Cette jurisprudence n’est pas nouvelle (v. par ex., Crim. 1er mars 2017, n° 15-87.069, inédit), mais sa publication au Bulletin est l’occasion de rappeler sa portée et ses incidences pratiques.

Les procédures sont certes indépendantes, mais n’en demeurent pas moins potentiellement connexes au sens de l’article 203 du code de procédure pénale. Il en résulte que deux affaires concernant un même prévenu, une même partie civile, un même type de faits et une période identique, ont vocation à être jugées séparément. Plus intriguant encore, l’information judicaire en cours vise notamment le chef de suppression et de modification frauduleuses des données contenues dans un STAD, constituant une infraction autonome, mais également une circonstance aggravante de l’accès au maintien frauduleux dans un STAD dont le prévenu aura déjà été déclaré coupable, ce qui pourrait entraîner un risque de contrariété de décisions et mettre en péril les droits inhérents à sa défense.

Ce n’est que par le jeu de l’opportunité des poursuites qui appartient au parquet que ces deux procédures se sont dissociées, le procureur de la République ayant choisi de ne diligenter d’enquête préliminaire et de saisir le tribunal correctionnel que sur un chef de poursuite, alors que la plainte de la victime était plus large, celle-ci ayant par la suite saisi un magistrat instructeur pour pallier la carence du ministère public.

Sous couvert du pouvoir souverain d’appréciation des juges du fond, il semblerait en réalité que la bonne administration de la justice et les droits de la défense risquent de s’effacer, en matière pénale, au profit de l’opportunité des poursuites, avec des conséquences inquiétantes pour les droits de la défense.

Élargissement progressif de la qualification de maintien dans un STAD

Les articles 323-1 à 323-8 du code pénal répriment désormais plusieurs formes d’atteinte aux STAD, et notamment l’accès ou le maintien frauduleux dans un STAD (C. pén., art. 323-1, al. 1, avec une aggravation à l’al. 2 lorsque l’accès ou le maintien entraîne notamment la suppression ou la modification des données), la suppression ou modification des données d’un STAD (C. pén., art. 323-3).

Les infractions en matière de système de traitement automatisé de données supposent qu’une condition préalable soit remplie : l’existence d’un STAD. Cette notion n’est pas définie par la loi, mais il ressort des travaux parlementaires à la loi Godfrain (Loi n° 88-19 du 5 janv. 1988) une définition englobant « tout ensemble composé d’une ou plusieurs unités de traitement, de mémoires, de logiciels, d’organes d’entrées-sorties, et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs de sécurité » – définition qui n’a finalement pas été inscrite dans le texte final (Rapport n° 3 de J. Thurayd, 2 oct. 1987). La lecture de la jurisprudence démontre toutefois une acceptation assez large de ce que constitue un STAD (par ex., infrastructures de gestion des cartes bancaires, systèmes informatiques d’entreprises, sites web, etc.).

S’agissant de la qualification d’accès frauduleux, les juridictions exigent que le mode de pénétration dans le système soit irrégulier, impliquant pour un individu d’accéder « par tout moyen » à un système sachant qu’il n’y est pas autorisé (v. Crim. 27 mars 2018, n° 17-81.989). Quant à l’infraction de maintien frauduleux, celle-ci s’applique, selon le législateur, « au cas du fraudeur habilité à accéder à une partie non autorisée de ce système, [et qui] s’y maintient en connaissance de cause », et « au cas du fraudeur qui, ayant eu par hasard accès à un système fermé, s’y maintient volontairement tout en sachant qu’il n’a pas le droit » (Rapport de J. Thurayd, préc.). C’est en accord avec cette définition stricte que la jurisprudence avait jusqu’ici ciblé du chef de maintien frauduleux dans un STAD des prévenus qui avaient bénéficié d’un accès légitime qui n’était plus d’actualité (v. par ex., Crim. 3 oct. 2007, n° 07-81.045 P, Dalloz actualité, 31 oct. 2007, obs. M. Léna ; D. 2007. 2807 ; AJ pénal 2007. 535, obs. G. Royer ; RSC 2008. 99, obs. J. Francillon ; RTD com. 2008. 433, obs. B. Bouloc ; concernant un maintien après l’expiration d’une période d’essai) ou ceux qui s’étaient maintenus sur un STAD auquel ils avaient accédé par erreur (Crim. 20 mai 2015, n° 14-81.336 P, Dalloz actualité, 5 juin 2015, obs. C. Duhil de Bénazé ; D. 2015. 1466 , note L. Saenko ; ibid. 2465, obs. G. Roujou de Boubée, T. Garé, C. Ginestet, M.-H. Gozzi et S. Mirabail ; AJ pénal 2015. 413, note E. Dreyer ; Légipresse 2015. 393 et les obs. ; RSC 2015. 860, obs. H. Matsopoulou ; ibid. 887, obs. J. Francillon ; RTD com. 2015. 600, obs. B. Bouloc ; RTD eur. 2016. 374-54, obs. E. Matringe ).

Dans le cas d’espèce, le prévenu était administrateur réseau de la société par laquelle il était employé et bénéficiait à ce titre d’un « droit général d’accès à la messagerie » des salariés de la société. Dès lors, la question de l’accès frauduleux ne se posait pas. En revanche, les juges du fond sont entrés en voie de condamnation du chef de maintien frauduleux, alors que le prévenu faisait valoir que cette infraction ne pouvait être reprochée « à la personne qui bénéficiait, au moment dudit maintien, d’une autorisation d’accès à ce système, peu important l’utilisation qui en a été faite ».

Les juges du quai de l’Horloge confirment la décision sur ce point, au motif qu’en prenant connaissance, à l’insu de la partie civile (« de manière occulte »), du contenu des courriels échangés par celle-ci avec des tiers, et ce à des fins étrangères à sa mission, l’infraction de maintien frauduleux était caractérisée, peu important d’une part le mobile et d’autre part le fait que le prévenu bénéficiait d’un droit général d’accès à la messagerie.

Cette solution, qui n’est pas nouvelle (v. not., Crim. 10 mai 2017, n° 16-81.822, inédit) mais mise en lumière par la publication, rappelle ici que l’infraction de maintien frauduleux est distincte et indépendante de celle d’accès frauduleux et fait référence, pour la première fois, à la notion de « droit général d’accès à la messagerie ». C’est là souligner que toute personne, même bénéficiant du plus haut niveau d’autorisation d’accès légitime à un STAD, peut être poursuivie du chef de maintien frauduleux, ce qui élargit le champ d’application du délit par rapport à son appréciation stricte et à la lecture des débats parlementaires.

La décision commentée entérine par ailleurs la jurisprudence relative à l’élément intentionnel de ces infractions aux STAD : le caractère frauduleux du comportement s’apprécie notamment au regard des agissements occultes, de la volonté de dissimulation (Crim. 5 avr. 2022, n° 21-83.590, inédit, RSC 2022. 609, obs. E. Dreyer ), et du fait que les agissements aient été menés à des fins étrangères à la mission du prévenu (Crim. 10 mai 2017, n° 16-81.822, inédit).

Les faits d’espèce prennent une lueur intéressante lorsqu’ils sont rapprochés des infractions d’abus de confiance (qui, rappelons-le, faisaient l’objet de la plainte avec constitution de partie civile de 2019 et donc de l’instruction judiciaire toujours en cours) et d’atteinte aux correspondances émises par voie électronique. La première infraction (C. pén., art. 314-1 s.) aurait peut-être permis d’appréhender plus justement un comportement qui vise en réalité à détourner des codes d’accès qui avaient été remis au prévenu à charge pour lui d’en faire un usage déterminé, dans le cadre de ses fonctions d’administrateur réseau, et qu’il a détournés au préjudice de la partie civile dont il a lu les courriels. La seconde, définie et réprimée par l’article 226-15, alinéa 2, du code pénal, aurait également pu apparaître comme pertinente, dans la mesure où le prévenu avait pris connaissance de courriels archivés.

Des poursuites et une condamnation auraient donc semblé envisageables d’autres chefs, sans avoir à recourir à l’élargissement progressif et critiquable de la notion de maintien dans un STAD. À nouveau, sous cet angle, le sursis à statuer dans l’attente de l’issue de l’information judiciaire – pour appréhender le dossier dans sa globalité – ou le renvoi au ministère public auraient pu permettre, en pratique, de répondre à cette problématique.

 

Crim. 2 sept. 2025, F-B, n° 24-83.605

par Chloé Méléard, Avocate associée, et Kenza Ayadi, Elève-avocate

© Lefebvre Dalloz