Code pénal cyber

Les 7 articles du Code pénal cyber (323-1 à 323-7)

2 months ago
25 min read
Add comment
FacebookX

Fiche 1 — Les 7 articles du Code pénal cyber (323-1 à 323-7)

Introduction générale

Le droit pénal français de la cybercriminalité repose, dans son socle historique, sur les articles 323-1 à 323-7 du Code pénal, insérés dans le chapitre relatif aux atteintes aux systèmes de traitement automatisé de données (STAD). Le STAD doit être compris largement : il ne s’agit pas seulement d’un “ordinateur”, mais de tout système organisé de traitement de données, incluant serveurs, réseaux, bases de données, applications, services en ligne ou infrastructures numériques. Cette incrimination protège moins l’objet matériel que les fonctions fondamentales de l’ordre numérique : l’accès légitime, l’intégrité des données, la disponibilité du système et, plus largement, la confiance dans l’environnement informationnel. (Légifrance)

Sur le plan philosophique, ces textes traduisent un déplacement majeur du droit pénal classique. Là où le droit protégeait d’abord la chose corporelle, il protège désormais un écosystème informationnel. L’atteinte ne consiste plus nécessairement à briser un objet visible ; elle peut résider dans une intrusion silencieuse, une altération logique, une saturation technique ou une mise à disposition d’outils offensifs. Le droit pénal cyber sanctionne donc une violence souvent immatérielle dans sa forme, mais très concrète dans ses effets économiques, institutionnels et humains. Cette logique apparaît nettement dans la gradation des articles 323-1 à 323-7. (Légifrance)

Article 323-1 — L’accès ou le maintien frauduleux dans un STAD

L’article 323-1 incrimine le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un STAD. Dans sa version en vigueur, ce délit est puni de trois ans d’emprisonnement et 100 000 € d’amende. Lorsque cet accès ou ce maintien a entraîné soit la suppression ou la modification de données, soit une altération du fonctionnement du système, la peine est portée à cinq ans d’emprisonnement et 150 000 € d’amende. Enfin, lorsque les faits visent un système de données à caractère personnel mis en œuvre par l’État, la peine peut atteindre sept ans d’emprisonnement et 300 000 € d’amende. (Légifrance)

L’élément matériel est simple en apparence : pénétrer dans un système sans droit, ou y rester alors même que l’on sait ne pas y être autorisé. Mais, en réalité, tout l’enjeu tient dans le qualificatif “frauduleusement”. Ce mot interdit une lecture purement technique. Il ne suffit pas qu’un accès soit possible ; il faut qu’il soit accompli hors autorisation légitime, en violation du périmètre de droits reconnu à l’utilisateur. Ainsi, un accès peut être matériellement facile et juridiquement frauduleux. Le droit pénal ne récompense pas la négligence technique de la victime ; il protège la frontière normative de l’autorisation. (Légifrance)

La jurisprudence a justement rappelé que le délit d’accès frauduleux peut être caractérisé même lorsque l’auteur ne “force” pas un système au sens vulgaire du terme. Une décision de la chambre criminelle du 16 janvier 2018 a été relevée comme illustrant qu’une personne peut tomber sous le coup de l’article 323-1 lorsqu’elle détient et installe un dispositif lui permettant d’accéder ou d’intervenir dans un système sans y être habilitée. Cela confirme que, dans cette matière, la fraude tient moins à la brutalité du procédé qu’à l’absence de titre juridique pour agir. (Cour de Cassation)

En pratique, l’article 323-1 est le texte pivot des intrusions : compromission de comptes, accès non autorisé à une messagerie professionnelle, consultation d’un back-office, exploration d’un serveur, ou maintien dans un système après révocation des droits. C’est le “seuil d’entrée” du droit pénal cyber.

Article 323-2 — L’entrave ou la falsification du fonctionnement du système

L’article 323-2 réprime le fait d’entraver ou de fausser le fonctionnement d’un STAD. Il vise la dimension dynamique du système : non plus seulement l’accès, mais sa capacité à fonctionner normalement. Le texte a classiquement pour objet les attaques de saturation, de blocage, de perturbation ou de détournement du fonctionnement logique du système. (Légifrance)

Sur le plan conceptuel, cet article protège la disponibilité et la fiabilité fonctionnelle du système. Là où l’article 323-1 protège la frontière d’accès, l’article 323-2 protège l’usage effectif du système par ses titulaires légitimes. C’est ici que le droit pénal rejoint l’ingénierie de la cybersécurité : un système peut rester intact matériellement, mais devenir indisponible, ralenti, dégradé ou trompé dans son comportement. Or, du point de vue juridique, cette atteinte au service vaut déjà dommage social. (Légifrance)

Cet article sert notamment de base pénale dans les hypothèses proches du déni de service (DoS ou DDoS), mais aussi dans des cas plus fins de perturbation logicielle, de désorganisation de traitement, ou de modification de paramètres affectant la bonne exécution des processus automatisés. La jurisprudence récente rappelle d’ailleurs son importance dans les contentieux liés aux perturbations de services numériques. Un extrait de décision du tribunal judiciaire de Paris du 22 décembre 2023 mentionne explicitement que l’article 323-2 dispose : “Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données…”, confirmant la mobilisation contentieuse actuelle de ce texte. (Cour de Cassation)

Philosophiquement, l’article 323-2 montre que la cyberattaque n’est pas seulement une atteinte à un bien ; elle est une atteinte à une capacité d’agir. Faire tomber un système hospitalier, gêner un service public, désorganiser une entreprise ou un outil judiciaire, c’est toucher l’activité humaine médiée par la technique.

Article 323-3 — L’introduction, la suppression, la modification, l’extraction, la détention, la reproduction, la transmission frauduleuses de données

L’article 323-3 sanctionne le fait d’introduire frauduleusement des données dans un STAD, mais aussi d’extraire, détenir, reproduire, transmettre, ou de supprimer ou modifier frauduleusement les données qu’il contient. Il s’agit donc du texte central de protection de l’intégrité informationnelle. Sa version actuelle prévoit, selon le cas, des peines aggravées, notamment lorsque les faits visent un système de données à caractère personnel mis en œuvre par l’État. (Légifrance)

Le cœur de ce délit est l’atteinte à la vérité opérationnelle des données. En matière numérique, les données ne sont pas un simple contenu passif : elles commandent des décisions, déclenchent des processus, structurent des preuves, conservent des droits, orientent des flux financiers, administratifs ou médicaux. Les altérer revient parfois à altérer la réalité sociale elle-même telle qu’elle est traitée par les institutions et les organisations. (Légifrance)

La jurisprudence a donné à ce texte une portée remarquable. Dans un arrêt du 8 juin 2021 (pourvoi n° 20-85.853), la chambre criminelle a rappelé que l’article 323-3 réprime notamment la suppression ou la modification frauduleuse de données contenues dans un STAD. Les résultats de recherche issus de la Cour de cassation et de commentaires juridiques indiquent que la Haute juridiction a admis que des modifications ou suppressions de données peuvent être qualifiées de frauduleuses lorsqu’elles ont été sciemment dissimulées à au moins un autre utilisateur du système. Cette lecture éclaire l’idée de fraude : celle-ci ne renvoie pas seulement à l’absence de droit, mais aussi à une volonté de dissimulation dans l’espace informationnel partagé. (Cour de Cassation)

En pratique, cet article couvre des situations extrêmement diverses : injection de fausses données, effacement de logs, modification d’une écriture comptable, suppression de fichiers, altération d’une base clients, export illicite d’informations, ou exfiltration de données sensibles. Il est donc au croisement du pénal cyber, du contentieux économique, du secret des affaires et de la protection des données.

Article 323-3-1 — Les outils de piratage et la question du “motif légitime”

L’article 323-3-1 occupe une place stratégique. Il punit, sans motif légitime, notamment de recherche ou de sécurité informatique, le fait d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3. Le texte prévoit que ces faits sont punis des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. (Légifrance)

C’est un article essentiel, car il déplace la répression en amont de l’attaque. Le droit ne sanctionne plus seulement l’intrusion ou la dégradation réalisée ; il frappe aussi l’écosystème matériel et logiciel préparatoire lorsqu’il n’existe pas de justification légitime. Ce texte est donc à la frontière de la prévention pénale. Il traduit une idée forte : dans l’univers cyber, la puissance offensive est souvent encapsulée dans des outils réutilisables, industrialisables, transmissibles. Punir uniquement l’acte final serait insuffisant. (Légifrance)

La formule “sans motif légitime” est décisive. Elle protège les activités licites de recherche, d’audit, de test d’intrusion, de sécurité défensive, voire d’enseignement spécialisé, à condition qu’elles s’inscrivent dans un cadre professionnel, scientifique ou contractuel sérieux. À l’inverse, la simple revendication abstraite d’un but informatif ou technique ne suffit pas toujours. Une décision de la chambre criminelle du 27 octobre 2009, relayée par la Cour de cassation et reprise dans la doctrine, a souligné que la violation, sans motif légitime et en connaissance de cause, de l’une des interdictions de l’article 323-3-1 suffit à caractériser l’intention coupable. (Légifrance)

Sur le plan philosophique, cet article pose une question profonde : un outil est-il neutre ? Le droit répond ici de manière nuancée. L’outil n’est pas incriminé en soi ; il le devient quand son importation, sa détention ou sa diffusion s’inscrit hors d’un horizon de légitimité. Le droit pénal cyber ne condamne donc pas la connaissance technique ; il condamne son inscription dans une finalité illicite ou dans une mise en circulation injustifiable.

Article 323-4 — L’association ou l’entente préparatoire

L’article 323-4 réprime la participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou plusieurs infractions prévues par les articles 323-1 à 323-3-1. La peine encourue est celle prévue pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. (Légifrance)

Ce texte est fondamental car il permet de frapper les formes collectives de préparation, même en amont de la réalisation complète de l’attaque. Il est très adapté aux logiques contemporaines de cybercriminalité : forums de préparation, équipes réparties, spécialisation des rôles, mutualisation d’accès, partage d’outils, achat de services cybercriminels. Le droit reconnaît ici que le phénomène cyber est souvent réseautique, modulaire et distribué. (Légifrance)

Juridiquement, l’article 323-4 ne suppose pas seulement une idée commune ; il faut une préparation “caractérisée par un ou plusieurs faits matériels”. Autrement dit, le droit exige un commencement objectivable de structuration : échanges, acquisition d’outils, préparation d’accès, organisation opérationnelle. Il ne s’agit pas de punir une pensée ; il s’agit de punir une coalition opératoire. (Légifrance)

Article 323-5 — Les peines complémentaires pour les personnes physiques

L’article 323-5 prévoit les peines complémentaires applicables aux personnes physiques reconnues coupables des infractions du chapitre. Parmi elles figurent classiquement l’interdiction de certains droits civiques, civils et de famille, l’interdiction d’exercer une activité professionnelle ou sociale dans l’exercice ou à l’occasion de laquelle l’infraction a été commise, la confiscation, ainsi que l’affichage ou la diffusion de la décision prononcée. Le résultat Legifrance consulté rappelle notamment la présence de l’affichage ou diffusion de la décision dans les conditions de l’article 131-35. (Légifrance)

Ces peines montrent que la réponse pénale cyber ne se réduit pas à l’emprisonnement et à l’amende. Elle comporte une logique de neutralisation, de prévention de la réitération et de visibilisation sociale de la faute. Dans certains métiers, en particulier ceux liés à l’informatique, à l’administration de systèmes, à la gestion de données ou à des fonctions de confiance, l’interdiction professionnelle peut être plus structurante encore que la peine principale. (Légifrance)

Article 323-6 — La responsabilité pénale des personnes morales

L’article 323-6 prévoit que les personnes morales peuvent être déclarées pénalement responsables des infractions prévues au chapitre, dans les conditions de l’article 121-2 du Code pénal. Elles encourent l’amende selon les règles applicables aux personnes morales ainsi que les peines prévues par l’article 131-39 ; Legifrance rappelle notamment que l’interdiction visée au 2° de cet article porte sur l’activité dans l’exercice ou à l’occasion de laquelle l’infraction a été commise. (Légifrance)

Ce texte est capital dans un monde où l’action cyber ne passe pas toujours par des individus isolés. Des structures peuvent financer, tolérer, organiser ou tirer profit d’atteintes aux systèmes d’information. La responsabilité pénale des personnes morales permet d’appréhender la dimension organisationnelle du risque et de la faute. Elle reconnaît que, dans l’univers numérique, la délinquance peut être portée par une architecture de décision, une culture interne, une politique de moyens ou une stratégie d’entreprise. (Légifrance)

Article 323-7 — La tentative

L’article 323-7 prévoit que la tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines. Cette extension a été modifiée en 2004 pour inclure l’article 323-3-1. Le texte actuellement en vigueur sur Legifrance l’énonce clairement. (Légifrance)

Cette disposition est très importante en matière cyber. Dans l’espace numérique, l’échec technique d’une attaque ne signifie pas absence de dangerosité. Un scan interrompu, une tentative d’intrusion bloquée, un script mal exécuté, une exfiltration empêchée ou un outil déployé sans aboutissement peuvent déjà révéler une intention pénalement significative. L’article 323-7 permet donc d’adapter le droit à la réalité des cyberattaques, qui sont souvent itératives, exploratoires et automatisées. (Légifrance)

Circonstances aggravantes et évolution récente du régime

Même si les fiches porte sur les “7 articles” classiques, il faut signaler qu’aujourd’hui le régime positif du Code pénal cyber a été renforcé. Le chapitre comprend désormais, entre autres, des dispositions aggravantes nouvelles. Les résultats Legifrance consultés montrent notamment l’existence de l’article 323-4-1, qui porte à dix ans d’emprisonnement et 300 000 € d’amende les infractions prévues aux articles 323-1 à 323-3-1 lorsqu’elles sont commises en bande organisée, ainsi que de l’article 323-4-2, qui aggrave la répression lorsqu’il en résulte un risque immédiat de mort, de mutilation, d’infirmité permanente ou une obstruction aux secours. Il faut également signaler l’article 323-3-2, relatif à certaines atteintes massives à des systèmes et prévoyant, dans certaines hypothèses, des peines pouvant aller jusqu’à dix ans d’emprisonnement et un million d’euros d’amende en bande organisée. (Légifrance)

Cela révèle une mutation profonde du regard pénal sur la cybercriminalité : on n’est plus seulement dans la protection d’intérêts privés ou patrimoniaux, mais aussi dans la protection de la sécurité collective, des services essentiels, des données publiques, et parfois de la vie humaine lorsque les systèmes attaqués soutiennent des fonctions critiques. (Légifrance)

Conclusion

Les articles 323-1 à 323-7 forment le noyau matriciel du droit pénal cyber français. Leur architecture est remarquable par sa cohérence : l’article 323-1 protège l’accès, l’article 323-2 le fonctionnement, l’article 323-3 l’intégrité des données, l’article 323-3-1 l’outillage offensif, l’article 323-4 la préparation collective, l’article 323-5 les peines complémentaires, l’article 323-6 la responsabilité des personnes morales et l’article 323-7 la tentative. (Légifrance)

Au fond, ces textes dessinent une philosophie pénale de la confiance numérique. Ils sanctionnent non seulement l’atteinte au système, mais aussi l’atteinte aux conditions mêmes de la vie sociale contemporaine : communiquer, administrer, soigner, produire, archiver, décider. Le cyber n’est donc pas un simple “sous-domaine technique” du droit pénal ; il en est désormais l’un des lieux majeurs, parce qu’il touche à la structure invisible de nos relations sociales et institutionnelles. (Légifrance)

Parfait. Voici la version fiche prête à intégrer, plus nette, plus professionnelle, et juridiquement à jour.

Fiche 1 — Les 7 articles du Code pénal cyber (323-1 à 323-7)

Les atteintes aux systèmes de traitement automatisé de données

Introduction

Les articles 323-1 à 323-7 du Code pénal constituent le noyau historique du droit pénal français applicable aux atteintes informatiques. Ils protègent ce que le Code appelle les systèmes de traitement automatisé de données (STAD), c’est-à-dire, en pratique, les ordinateurs, serveurs, réseaux, messageries, bases de données, applications et autres systèmes numériques organisés. Dans leur version en vigueur au 29 mars 2026, ces dispositions figurent dans le Chapitre III : Des atteintes aux systèmes de traitement automatisé de données. Le chapitre actuel a été élargi au-delà de 323-7, mais les articles 323-1 à 323-7 demeurent le socle doctrinal classique du droit pénal cyber français. (Légifrance)

Sur le plan juridique, ces textes protègent quatre intérêts majeurs : l’accès légitime au système, son bon fonctionnement, l’intégrité des données, et la prévention des actes préparatoires ou collectifs. Sur le plan philosophique, ils témoignent d’un déplacement du droit pénal contemporain : on ne protège plus seulement des biens matériels visibles, mais des architectures invisibles qui soutiennent la vie économique, administrative, sociale et démocratique. Dans l’univers numérique, toucher au système, c’est souvent toucher à la confiance, à la preuve, à la décision et parfois à la sécurité des personnes. (Légifrance)

Vue d’ensemble synthétique

ArticleComportement incriminéPeine principale
323-1Accès ou maintien frauduleux dans un STAD3 ans et 100 000 € ; 5 ans et 150 000 € si suppression/modification de données ou altération du fonctionnement ; 7 ans et 300 000 € si STAD de données personnelles de l’État
323-2Entraver ou fausser le fonctionnement d’un STAD5 ans et 150 000 € ; 7 ans et 300 000 € si STAD de données personnelles de l’État
323-3Introduire, extraire, détenir, reproduire, transmettre, supprimer ou modifier frauduleusement des données5 ans et 150 000 € ; 7 ans et 300 000 € si STAD de données personnelles de l’État
323-3-1Détenir, diffuser ou mettre à disposition des outils de piratage sans motif légitimePeines de l’infraction préparée ou de la plus sévèrement réprimée
323-4Participer à une entente ou un groupement préparant ces infractionsPeines de l’infraction préparée ou de la plus sévèrement réprimée
323-5Peines complémentaires pour les personnes physiquesInterdictions, confiscation, fermeture, affichage, etc.
323-6Responsabilité pénale des personnes moralesAmende + peines de l’article 131-39
323-7Tentative des délits précédentsMême peine que l’infraction consommée

Ce tableau reprend les formulations et peines figurant dans la version consolidée du Code pénal en vigueur. (Légifrance)

Article 323-1 — L’accès ou le maintien frauduleux

L’article 323-1 dispose que le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et 100 000 € d’amende. Si cet accès ou ce maintien a provoqué la suppression ou la modification de données, ou une altération du fonctionnement du système, la peine monte à cinq ans et 150 000 €. Lorsqu’il s’agit d’un système de données à caractère personnel mis en œuvre par l’État, la peine peut atteindre sept ans d’emprisonnement et 300 000 € d’amende. (Légifrance)

Le mot central est ici “frauduleusement”. Il ne signifie pas seulement “par piratage spectaculaire” ; il signifie surtout sans droit, hors autorisation, ou en détournant un droit d’accès de sa finalité légitime. En d’autres termes, le droit pénal cyber ne protège pas seulement un verrou technique : il protège une frontière juridique. Un accès techniquement possible peut donc être juridiquement illicite. (Légifrance)

La jurisprudence récente l’illustre bien. Dans une décision du 2 septembre 2025, la Cour de cassation a laissé subsister la condamnation d’un administrateur réseau pour maintien frauduleux, alors même qu’il disposait techniquement d’un accès à la messagerie du dirigeant ; l’enjeu était précisément le détournement de cet accès à des fins étrangères à sa mission. Cela confirme une idée très importante pour la pratique : en matière de STAD, la licéité ne dépend pas seulement de la capacité d’entrer dans le système, mais du titre légitime pour y rester ou l’utiliser dans ce but précis. (Légifrance)

À retenir

L’article 323-1 réprime donc :

  • l’intrusion pure dans un système ;
  • le maintien illicite après une entrée initiale ;
  • le détournement d’un accès autorisé lorsqu’il devient frauduleux dans son usage ou sa finalité. (Légifrance)

Article 323-2 — L’entrave ou la falsification du fonctionnement

L’article 323-2 punit le fait d’entraver ou de fausser le fonctionnement d’un STAD de cinq ans d’emprisonnement et 150 000 € d’amende, avec aggravation à sept ans et 300 000 € lorsque les faits visent un système de données à caractère personnel mis en œuvre par l’État. (Légifrance)

Cet article protège la disponibilité et la fiabilité opérationnelle du système. Il vise les hypothèses où le système ne peut plus fonctionner normalement, où son comportement est dégradé, ralenti, bloqué ou détourné. Dans la pratique, il couvre notamment les attaques de type déni de service, les perturbations de traitement, les manipulations logicielles qui désorganisent l’exécution normale du système ou l’empêchent de remplir sa fonction. (Légifrance)

La portée de cet article est profonde : juridiquement, le dommage n’est pas seulement la destruction d’un bien, mais l’atteinte à une capacité de service. Dans une société administrée par le numérique, empêcher un système de fonctionner, c’est parfois empêcher une entreprise de produire, une administration d’agir, un soin d’être délivré ou une décision d’être prise. Le tribunal judiciaire de Paris a encore rappelé le contenu de cette incrimination dans une décision du 22 décembre 2023, ce qui montre qu’elle reste très mobilisée en contentieux. (Légifrance)

À retenir

L’article 323-2 protège le fonctionnement normal du système, même si les données ne sont pas matériellement détruites. (Légifrance)

Article 323-3 — L’atteinte frauduleuse aux données

L’article 323-3 réprime le fait d’introduire frauduleusement des données dans un STAD, mais aussi d’extraire, détenir, reproduire, transmettre, supprimer ou modifier frauduleusement les données qu’il contient. La peine prévue est de cinq ans d’emprisonnement et 150 000 € d’amende, portée à sept ans et 300 000 € lorsque l’infraction vise un système de données à caractère personnel mis en œuvre par l’État. (Légifrance)

Cet article protège l’intégrité informationnelle. Les données n’y sont pas envisagées comme de simples objets abstraits : elles structurent des identités, des comptes, des preuves, des opérations, des archives, des décisions et des droits. Les falsifier, les supprimer ou les exfiltrer peut donc produire des effets considérables bien au-delà de l’informatique elle-même. (Légifrance)

Un arrêt très important de la chambre criminelle du 8 juin 2021 a précisé le sens de la fraude en matière de modification ou de suppression de données. La Cour de cassation a approuvé l’idée que des modifications ou suppressions de données sont frauduleuses lorsqu’elles ont été sciemment dissimulées à au moins un autre utilisateur du système. Cette décision éclaire un point fondamental : la fraude ne se réduit pas à l’absence de droit formel ; elle peut aussi résider dans la dissimulation délibérée d’une altération du système d’information partagé. (Légifrance)

Exemples typiques

L’article 323-3 peut viser :

  • l’injection de fausses données dans une base ;
  • l’effacement de journaux de connexion ;
  • la modification de dossiers, d’écritures comptables ou de paramètres ;
  • l’exfiltration d’informations sensibles ;
  • la suppression de preuves numériques. (Légifrance)

Article 323-3-1 — Les outils de piratage et le “motif légitime”

L’article 323-3-1 punit, sans motif légitime, notamment de recherche ou de sécurité informatique, le fait d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre les infractions prévues aux articles 323-1 à 323-3. La peine applicable est celle de l’infraction préparée ou de l’infraction la plus sévèrement réprimée. (Légifrance)

Cet article est capital, car il déplace la répression en amont de l’attaque. Le droit ne se contente pas de punir l’intrusion ou la dégradation déjà réalisée ; il réprime aussi la circulation d’outils offensifs lorsque celle-ci ne repose sur aucun fondement légitime. Il s’agit d’un texte de prévention pénale, adapté à un monde où la cybercriminalité est souvent industrialisée par des scripts, kits, malware builders, outils d’exploitation ou dispositifs de collecte d’identifiants. (Légifrance)

La notion de motif légitime est la clé du texte. Le législateur cite expressément la recherche et la sécurité informatique, ce qui protège en principe les activités sérieuses d’audit, de test, d’enseignement spécialisé ou de recherche défensive. Mais cette légitimité ne se présume pas. Dans son arrêt du 27 octobre 2009, la chambre criminelle a confirmé une condamnation pour mise à disposition, sans motif légitime, de moyens spécialement adaptés à la commission d’atteintes à un STAD. Cette jurisprudence montre que la frontière entre expertise technique licite et préparation délictueuse dépend du contexte, de l’usage et de la justification concrète. (Légifrance)

À retenir

Le droit pénal français n’incrimine pas la connaissance informatique en elle-même ; il incrimine la mise à disposition ou la détention injustifiée d’outils offensifs. (Légifrance)

Article 323-4 — Le groupement ou l’entente préparatoire

L’article 323-4 punit la participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou plusieurs infractions prévues par les articles 323-1 à 323-3-1. La peine est celle de l’infraction préparée ou de la plus sévèrement réprimée. (Légifrance)

Ce texte transpose en droit pénal cyber une idée bien connue : certaines menaces doivent être saisies au stade de la préparation collective, avant même l’exécution complète. Il est particulièrement adapté aux cyberattaques modernes, qui sont rarement l’œuvre d’un individu isolé. Elles mobilisent souvent des rôles différenciés : développeur, diffuseur d’outils, fournisseur d’accès, opérateur, revendeur de données ou gestionnaire d’infrastructure. (Légifrance)

Le point essentiel est que la simple intention ne suffit pas : le texte exige une préparation “caractérisée par un ou plusieurs faits matériels”. Le droit pénal ne punit donc pas une pensée abstraite, mais une coalition devenue objectivable. (Légifrance)

Article 323-5 — Les peines complémentaires applicables aux personnes physiques

L’article 323-5 prévoit plusieurs peines complémentaires pour les personnes physiques reconnues coupables des délits du chapitre. Figurent notamment :
l’interdiction de certains droits civiques, civils et de famille ; l’interdiction d’exercer une fonction publique ou une activité professionnelle ou sociale liée à l’infraction ; la confiscation ; la fermeture d’établissement ; l’exclusion des marchés publics ; l’interdiction d’émettre certains chèques ; et l’affichage ou la diffusion de la décision. (Légifrance)

Ces peines montrent que la répression cyber n’est pas seulement punitive ; elle est aussi préventive, incapacitante et parfois réputationnelle. Dans certains métiers sensibles, l’interdiction d’exercer peut avoir un impact plus durable que l’amende elle-même. (Légifrance)

Article 323-6 — La responsabilité pénale des personnes morales

L’article 323-6 étend la répression aux personnes morales dans les conditions de l’article 121-2 du Code pénal. Elles encourent l’amende selon l’article 131-38, ainsi que les peines de l’article 131-39. Le texte précise que l’interdiction mentionnée au 2° de l’article 131-39 porte sur l’activité dans l’exercice ou à l’occasion de laquelle l’infraction a été commise. (Légifrance)

Cette disposition est essentielle, car les atteintes aux STAD peuvent être portées, facilitées ou couvertes par des structures organisées. Le droit pénal contemporain reconnaît ainsi que la cyberdélinquance peut être systémique, inscrite dans des logiques d’organisation, de gouvernance ou de profit. (Légifrance)

Article 323-7 — La tentative

L’article 323-7 prévoit que la tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines. (Légifrance)

C’est une règle particulièrement importante en matière cyber, car de nombreuses attaques sont interrompues avant leur succès complet : intrusion bloquée, script stoppé, exfiltration inaboutie, dispositif mal exécuté. Le droit pénal tient compte du fait que l’échec technique n’efface pas nécessairement la dangerosité pénale. (Légifrance)

Les aggravations qu’il faut connaître aujourd’hui

Même si ta fiche porte sur les “7 articles” classiques, il faut signaler qu’en droit positif actuel, le chapitre a été renforcé par des aggravations importantes. L’article 323-4-1 porte à dix ans d’emprisonnement et 300 000 € d’amende les infractions des articles 323-1 à 323-3-1 lorsqu’elles sont commises en bande organisée. L’article 323-4-2 prévoit la même peine lorsqu’elles exposent autrui à un risque immédiat de mort, de mutilation, d’infirmité permanente, ou lorsqu’elles font obstacle aux secours. Ces aggravations ont été introduites ou renforcées récemment, notamment par la loi du 24 janvier 2023. (Légifrance)

Cela montre très clairement l’évolution philosophique du droit pénal cyber : on n’est plus seulement dans la protection d’un patrimoine informatique, mais dans celle de la sécurité collective, des services essentiels et, dans certains cas, de la vie humaine elle-même. (Légifrance)

Lecture doctrinale d’ensemble

Pris ensemble, les articles 323-1 à 323-7 forment une architecture très cohérente :

  • 323-1 protège la frontière d’accès ;
  • 323-2 protège le fonctionnement ;
  • 323-3 protège les données ;
  • 323-3-1 protège en amont contre la diffusion d’outils offensifs ;
  • 323-4 protège contre l’organisation collective de l’attaque ;
  • 323-5 et 323-6 organisent la répression complémentaire et la responsabilité des structures ;
  • 323-7 permet d’anticiper pénalement l’échec apparent d’une cyberattaque. (Légifrance)

Autrement dit, le droit pénal cyber français ne sanctionne pas seulement un “piratage” au sens ordinaire. Il sanctionne une chaîne d’atteintes : intrusion, altération, perturbation, préparation, outillage, organisation, tentative. Il repose sur une idée centrale : l’ordre numérique est devenu une condition de l’ordre social. (Légifrance)

Mini-conclusion opérationnelle

Pour un praticien, un chercheur ou un étudiant, il faut retenir ceci :

l’article 323-1 punit l’entrée ou le maintien sans droit ;
l’article 323-2 punit l’attaque contre le fonctionnement ;
l’article 323-3 punit l’attaque contre les données ;
l’article 323-3-1 punit les outils de piratage sans motif légitime ;
l’article 323-4 punit l’organisation préparatoire ;
les articles 323-5 et 323-6 étendent les sanctions ;
l’article 323-7 punit la tentative. (Légifrance)

Sources principales

  • Code pénal, Chapitre III : Des atteintes aux systèmes de traitement automatisé de données, version en vigueur au 29 mars 2026. (Légifrance)
  • Cour de cassation, chambre criminelle, 8 juin 2021, n° 20-85.853, sur l’article 323-3. (Légifrance)
  • Cour de cassation, chambre criminelle, 27 octobre 2009, n° 09-82.346, sur l’article 323-3-1. (Légifrance)
  • Cour de cassation, chambre criminelle, 2 septembre 2025, sur le maintien frauduleux et le détournement d’un accès techniquement autorisé. (Légifrance)
  • Tribunal judiciaire de Paris, 22 décembre 2023, rappelant la portée de l’article 323-2. (Légifrance)

Add comment

Your email address will not be published. Required fields are marked *