Même s’il dispose d’un droit d’accès général aux messageries de son entreprise, un administrateur réseau commet le délit de maintien frauduleux dans un système de traitement automatisé de données s’il lit les mails reçus par le dirigeant à son insu.
L’administrateur réseau d’une société profite de son accès à la messagerie de tous les salariés de l’entreprise pour lire les mails échangés entre le gérant et des tiers. Juste avant d’être mis à pied, il installe de manière occulte un procédé de transfert automatique des mails du dirigeant vers sa propre messagerie.
La société porte plainte et son dirigeant se porte partie civile. Après une enquête, l’informaticien est cité devant le tribunal correctionnel pour maintien frauduleux dans un système de traitement automatisé de données (C. pén. art. 323-1).
Il fait valoir que le délit ne peut pas s’appliquer dans sa situation puisqu’il bénéficiait, au moment du maintien dans le système de données, d'une autorisation d'accès à ce système, peu important l'utilisation qu’il en a faite ensuite.
L’argument est écarté par les juges. Même si en tant qu’administrateur du réseau, il bénéficiait d'un droit général d'accès à la messagerie, il s’est maintenu frauduleusement dans un système de traitement automatisé de données en prenant connaissance du contenu des messages échangés au sein du réseau, à des fins étrangères à sa mission et à l'insu des titulaires des messages.
Par cette décision, la chambre criminelle confirme que le délit de maintien frauduleux dans un système de traitement automatisé de données peut trouver à s’appliquer dans un grand nombre de situations en entreprise.
On savait qu’il pouvait être retenu contre le salarié qui conserve des codes d’accès à une base de données utilisée par une entreprise et continue à la consulter après son départ (Cass. crim. 3-10-2007 n° 07-81.045 P : Bull. crim. n° 236 ; AJ pénal 2007 p. 535). Le délit a également été qualifié s’agissant d’un avocat, associé avec sa femme, qui a profité de son accès au logiciel utilisé au sein de leur cabinet commun pour prendre connaissance d’informations utilisables dans le cadre de leur divorce (Cass. crim. 10-5-2017 n° 16-81.822 D).
Cette nouvelle décision permet de sanctionner des salariés indélicats des services informatiques qui dépasseraient le cadre strict de leurs missions, en faisant tomber sous le coup de la loi pénale le fait d’utiliser une autorisation d’accès à un système dans un autre but que ce qui justifie cette autorisation. Elle est particulièrement protectrice des données personnelles échangées dans un cadre professionnel.
