Dans un arrêt du 2 septembre 2025 (Cass. crim., 2 sept. 2025), la chambre criminelle de la Cour de cassation rappelle avec force l’obligation pour les administrateurs réseaux et responsables de la sécurité informatique de respecter strictement le périmètre de leurs missions lorsqu’ils accèdent aux données des systèmes d’information.
Définition de la fraude selon la Cour
Dans cette affaire, un administrateur réseau, sur le point de quitter son entreprise, avait accédé à la messagerie d’un autre salarié et mis en place une redirection automatique des courriels vers sa propre adresse personnelle. Bien qu’il disposât d’un droit général d’accès à la messagerie pour les besoins de ses fonctions, la Cour a estimé que consulter les messages à des fins étrangères à sa mission, et sans en informer le titulaire, constituait une atteinte au système de traitement automatisé de données (STAD).
La fraude est caractérisée lorsque :
- Le droit d’accès est absent ou détourné de son objet initial ;
- Il n’existe pas d’autorisation spécifique pour accéder à certaines données ;
- L’auteur agit en connaissance de cause, sachant qu’il intervient dans une « zone interdite » du système.
À retenir : La dissimulation seule ne suffit pas à caractériser la fraude informatique, mais elle peut constituer un indice sérieux.
Conséquences pour votre DSI
Rassurez vos équipes : cet arrêt ne remet pas en cause le droit d’accès des administrateurs systèmes et responsables sécurité informatique, dès lors que celui-ci s’exerce dans le strict cadre des missions qui leur sont confiées par l’entreprise. Les critères posés par la Cour sont cumulatifs et protègent les administrateurs réseau ou responsables sécurité qui agissent conformément à leurs attributions définies.
Bonnes pratiques pour sécuriser votre entreprise
- Clarifiez les missions : Définissez précisément, dans le contrat de travail ou le règlement intérieur, les missions et habilitations accordées à chaque membre du service DSI.
- Limitez les accès : Attribuez à chacun uniquement les droits nécessaires à l’exercice de ses fonctions.
- Tracez les interventions : Veillez à ce que chaque opération sur les systèmes soit tracée et justifiable.
- Assurez la transparence : Mettez à jour votre charte informatique pour informer tous les salariés sur les modalités d’accès et de surveillance des systèmes d’information.
Un administrateur système peut accéder à la messagerie d’un salarié sans commettre d’infraction s’il respecte les procédures internes et le principe de proportionnalité. Anticiper la rédaction d’une charte informatique et intégrer des clauses adaptées dans les contrats de travail, avec l’accompagnement d’un avocat spécialisé en droit du numérique et protection des données personnelles, est essentiel pour sécuriser juridiquement votre DSI.
Votre avocat vous accompagne
Nous vous assistons dans la sécurisation des accès DSI, la rédaction ou la mise à jour des chartes informatiques et documents contractuels nécessaires, ainsi que dans le respect du RGPD. N’hésitez pas à nous solliciter pour protéger efficacement votre entreprise.
Pas de contribution, soyez le premier