Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/NIS2 / Securite/Cyberattaques : le cadre pénal français (articles 323-1 et s...
NIS2 / Securite

Cyberattaques : le cadre pénal français (articles 323-1 et suivants)

Les cyberattaques sont sanctionnées par les articles 323-1 a 323-8 du Code pénal. Infractions, peines et jurisprudence.

Par Thiébaut DevergrannePublie le 18 mars 2026Mis a jour le 18 mars 20268 min de lecture
Sommaire
  1. Les cinq infractions fondamentales
  2. Les circonstances aggravantes
  3. Le droit pénal comme première reconnaissance de la propriété informatique
  4. Implications pratiques pour la gestion d’incidents
  5. Les évolutions récentes et perspectives
  6. FAQ

Les cyberattaques sont sanctionnées en droit français par les articles 323-1 à 323-8 du Code pénal, issus de la loi n. 88-19 du 5 janvier 1988 dite “loi Godfrain” et substantiellement modifiés par les lois successives, notamment la loi LOPPSI 2 du 14 mars 2011 et la loi du 24 juillet 2015. Ce dispositif répressif, qui a constitue la première reconnaissance juridique du système informatique comme objet de protection pénale, reste aujourd’hui le socle de la réponse judiciaire aux atteintes aux systèmes d’information. Comprendre ces infractions est indispensable pour les équipes de sécurité informatique, les DPO et les juristes confrontés à la gestion d’incidents de sécurité.

Les cinq infractions fondamentales

Le Code pénal prévoit cinq infractions principales visant les atteintes aux systèmes de traitement automatisé de données (STAD). Chacune répond à un mode opératoire distinct et protégé un aspect particulier du système informatique.

1. L’accès frauduleux (article 323-1, alinéa 1)

L’article 323-1, alinéa 1, du Code pénal punit le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données. Les peines prévues sont de trois ans d’emprisonnement et 100 000 euros d’amende.

La jurisprudence a adopté une conception large de l’accès : exploitation d’une faille, contournement d’une authentification, utilisation d’identifiants volés, voire accès à des ressources manifestement non destinées au public (CA Paris, 30 octobre 2002, affaire Kitetoa). L’élément moral réside dans le caractère “frauduleux” : la conscience de l’absence d’autorisation. Le maintien frauduleux constitue une variante autonome visant celui qui, initialement autorisé, se maintient au-delà de son autorisation.

2. L’accès frauduleux avec conséquences (article 323-1, alinéa 2)

Lorsque l’accès ou le maintien frauduleux a entraîne la suppression ou la modification de données contenues dans le système, ou une altération du fonctionnement de ce système, les peines sont portées a cinq ans d’emprisonnement et 150 000 euros d’amende. Il s’agit d’une circonstance aggravante liée aux conséquences de l’intrusion, même si ces conséquences n’étaient pas recherchées par l’auteur.

3. L’entrave au fonctionnement (article 323-2)

L’article 323-2 punit le fait d’entraver ou de fausser le fonctionnement d’un STAD. Les peines prévues sont de cinq ans d’emprisonnement et 150 000 euros d’amende.

Cette infraction vise les attaques par déni de service (DDoS), le déploiement de rançongiciels (ransomwares) qui bloquent le fonctionnement du système, l’introduction de programmes perturbant le fonctionnement normal du système, ou toute action visant à dégrader les performances ou la disponibilité du système. Le terme “fausser” couvre les situations ou le système continue de fonctionner mais produit des résultats erronés, par exemple à la suite d’une modification malveillante de ses paramètres.

4. L’introduction frauduleuse de données (article 323-3)

L’article 323-3 punit le fait d’introduire frauduleusement des données dans un STAD, de les extraire, de les détenir, de les reproduire, de les transmettre, de les supprimer ou de les modifier. Les peines prévues sont de cinq ans d’emprisonnement et 150 000 euros d’amende.

Cette infraction, élargie par la loi du 24 juillet 2015, couvre un spectre large : injection de code malveillant, défacement, ajout de données frauduleuses, mais aussi l’extraction de données – essentielle pour la répression des fuites de données d’origine malveillante.

5. La mise à disposition d’outils d’attaque (article 323-3-1)

L’article 323-3-1 punit le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre les infractions prévues aux articles 323-1 à 323-3. Les peines prévues sont celles applicables à l’infraction elle-même ou à l’infraction la plus sévèrement réprimée.

Cette disposition vise les marchands de kits d’attaque, les plateformes de revente de vulnérabilités zéro-day et les fournisseurs de logiciels malveillants. La reserve “sans motif légitime” protégé les chercheurs en sécurité et les professionnels du test d’intrusion qui détiennent et utilisent ces outils dans un cadre autorisé.

Les circonstances aggravantes

Le Code pénal prévoit plusieurs circonstances aggravantes qui augmentent significativement les peines encourues.

La bande organisée (article 323-4-1)

Lorsque les infractions sont commises en bande organisée, les peines sont portées a dix ans d’emprisonnement et 300 000 euros d’amende pour les infractions les plus gravés. Cette qualification est fréquemment retenue dans les affaires de cybercriminalité impliquant des groupes structurés, tels que les groupes de rançongiciels.

L’atteinte à un système de l’État (article 323-1, alinéa 3)

Lorsque l’infraction est commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en oeuvre par l’État, les peines sont portées a cinq ans d’emprisonnement et 150 000 euros d’amende pour le simple accès frauduleux, et a sept ans et 300 000 euros lorsque l’accès a eu des conséquences sur les données ou le fonctionnement du système.

La mise en peril de la personne (article 323-4-2)

Les peines sont également aggravées lorsque l’infraction a été commise avec l’intention de porter atteinte à la sécurité ou à la vie d’une personne, à la sécurité nationale ou au fonctionnement régulier de l’économie.

Le droit pénal comme première reconnaissance de la propriété informatique

Comme nous l’analysons dans notre these de doctorat sur la propriété informatique (T. Devergranne, Paris II), le droit pénal a joué un rôle fondateur dans la reconnaissance juridique des biens informatiques. Avant 1988, les qualifications classiques – vol, destruction, abus de confiance – s’adaptaient mal aux atteintes informatiques. La loi Godfrain a consacré une idée essentielle : le système informatique mérite une protection pénale autonome. Ce faisant, le législateur a implicitement reconnu que le système informatique constitue un objet de propriété.

Comme nous le soulignons dans notre these, le sentiment de propriété naît souvent de la violation du droit : c’est parce que les systèmes faisaient l’objet d’attaques que la nécessité de les protéger s’est imposée. Les articles 323-1 et suivants protègent le droit de l’exploitant a jouir paisiblement de son bien informatique – un droit qui présente les attributs classiques de la propriété (usus, fructus, abusus).

Implications pratiques pour la gestion d’incidents

Le dépôt de plainte

Le dépôt de plainte conditionné l’intervention des services judiciaires spécialisés (OCLCTIC, BEFTI, C3N). Le plaignant doit documenter précisément l’incident : nature du STAD affecte, mode d’intrusion, données compromises, traces techniques (logs, indicateurs de compromission), chronologie et évaluation du préjudice.

L’articulation avec la notification RGPD

Lorsqu’une cyberattaque implique des données personnelles, l’obligation de notification à la CNIL sous 72 heures (article 33 du RGPD) se cumulé avec le dépôt de plainte. Ces démarches sont complémentaires : la notification est une obligation administrative, la plainte est l’exercice d’un droit.

L’articulation avec NIS2

La directive NIS2 impose aux entités essentielles et importantes de notifier les incidents de sécurité significatifs à l’autorité compétente (l’ANSSI en France) dans un délai de 24 heures pour l’alerte initiale. Cette obligation administrative se superpose aux qualifications pénales : un incident constitutif d’une infraction au sens des articles 323-1 et suivants déclenchera à la fois l’obligation de notification NIS2 et la possibilité de porter plainte. Les équipes de gestion d’incidents doivent disposer de procédures coordonnées pour satisfaire ces différentes obligations dans les délais impartis.

La preuve numérique

La recevabilité de la preuve numérique en matière pénale obeit aux règles du droit commun de la preuve pénale, qui admet tous les modes de preuve. Toutefois, la valeur probante des éléments techniques (logs, captures réseau, images forensiques) dépend de la rigueur de la chaîne de conservation des preuves. Les bonnes pratiques forensiques recommandent de réaliser des copies bit-a-bit des supports de stockage, de calculer des empreintes cryptographiques (hash) des éléments de preuve et de documenter chaque manipulation.

Les évolutions récentes et perspectives

Le cadre pénal français continue d’évoluer. La Convention de Budapest du Conseil de l’Europe et son deuxième protocole additionnel (2022) renforcent la coopération transfrontalière pour la répression de la cybercriminalité. Pour les professionnels de la sécurité informatique, la maîtrisé de ce cadre pénal est un complément indispensable aux obligations réglementaires issues du RGPD et de NIS2.

FAQ

Quelles sont les peines encourues pour un accès frauduleux à un système informatique ?

L’accès frauduleux à un système de traitement automatisé de données est puni de trois ans d’emprisonnement et 100 000 euros d’amende (article 323-1 du Code pénal). Si l’accès a entraîne une modification ou suppression de données, ou une altération du fonctionnement du système, les peines sont portées à cinq ans d’emprisonnement et 150 000 euros d’amende. L’atteinte à un système de l’État porte les peines à sept ans et 300 000 euros dans le cas le plus grave.

Comment porter plainte à la suite d’une cyberattaque ?

Le dépôt de plainte peut être realise auprès du procureur de la République ou des services de police et de gendarmerie spécialisés (OCLCTIC, BEFTI, C3N). Il est essentiel de documenter l’incident avec précision : nature du STAD affecte, mode opératoire identifie, chronologie des évènements, logs et indicateurs de compromission, évaluation du préjudice. Si l’incident implique des données personnelles, la notification à la CNIL dans les 72 heures est une obligation distincte qui se cumulé avec le dépôt de plainte.

Un test d’intrusion peut-il être qualifié de cyberattaque ?

En l’absence d’autorisation écrite préalable du propriétaire du système, un test d’intrusion constitue un accès frauduleux au sens de l’article 323-1 du Code pénal, indépendamment de l’intention de l’auditeur. Pour être licite, un pentest doit être couvert par une convention d’audit définissant précisément le périmètre, les techniques autorisées et les limités de la mission. L’article 323-3-1 protégé par ailleurs la détention d’outils d’attaque lorsqu’elle est justifiée par un motif légitime, ce qui couvre l’activité professionnelle des auditeurs de sécurité.

Articles lies

NIS2 / Securite

SecNumCloud : la qualification ANSSI du cloud de confiance

14 avril 2026 · 11 min
NIS2 / Securite

Notification de cyberattaque : qui prévenir, quand et comment

24 mars 2026 · 12 min
NIS2 / Securite

Pénalités NIS2 : montants des sanctions et régime d'application

23 mars 2026 · 12 min