Loi Godfrain : guide 2026 de la fraude informatique
Loi Godfrain (art. 323-1 du Code pénal) : accès et maintien frauduleux, atteintes aux STAD, peines à jour, jurisprudence et articulation RGPD. Guide 2026.
- Qu’est-ce que la loi Godfrain ?
- Les infractions d’atteinte aux STAD (articles 323-1 à 323-7)
- L’élément décisif : le caractère « frauduleux »
- La particularité des systèmes de l’État : un débat toujours d’actualité
- Loi Godfrain et RGPD : la double lecture d’une cyberattaque
- Que faire si vous êtes victime d’une atteinte à votre STAD
- Prévention : sécuriser et cadrer les accès
- Une question de proportionnalité ?
- FAQ
L’essentiel. La loi Godfrain — les articles 323-1 à 323-7 du Code pénal — sanctionne les atteintes aux systèmes de traitement automatisé de données (STAD). L’accès ou le maintien frauduleux est puni de 3 ans d’emprisonnement et 100 000 € d’amende ; l’atteinte aux données ou au fonctionnement du système, de 5 ans et 150 000 € ; les infractions visant un système de l’État, de 7 ans et 300 000 €. L’élément décisif est le caractère frauduleux : accéder ou se maintenir en sachant qu’on n’y est pas autorisé. Depuis 2014, l’extraction et la reproduction de données sont des infractions autonomes, ce qui a comblé le vide du « vol de données ».
Trente-sept ans après son adoption, la loi du 5 janvier 1988, dite « loi Godfrain », reste le socle du droit pénal français de la cybercriminalité. Elle a survécu à l’internet grand public, au cloud, aux rançongiciels et à l’intelligence artificielle sans que sa structure ne bouge : on sanctionne toujours l’accès frauduleux, le maintien frauduleux, l’entrave au fonctionnement et l’atteinte aux données. Ce qui a changé, ce sont les peines — régulièrement relevées — et le périmètre, élargi en 2014 pour saisir le vol de données que la rédaction initiale laissait échapper.
Ce guide fait le point, à jour de 2026, sur ce que la loi Godfrain incrimine, sur les peines encourues, sur la jurisprudence qui en fixe les contours et sur son articulation avec le RGPD — car une cyberattaque contre un système contenant des données personnelles relève aujourd’hui de deux logiques juridiques distinctes qu’il faut traiter en parallèle.
Qu’est-ce que la loi Godfrain ?
La loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique, portée par le député Jacques Godfrain, a créé les premières infractions spécifiques d’atteinte aux systèmes informatiques. Ses dispositions ont été intégrées au Code pénal aux articles 323-1 et suivants, dans le Livre III consacré aux « crimes et délits contre les biens ».
Ce rattachement n’est pas anodin : il signifie que la loi Godfrain protège d’abord la propriété et l’intégrité des systèmes d’information, et non les personnes. C’est ce qui la distingue des dispositions pénales de la loi Informatique et Libertés (articles 226-16 et suivants du Code pénal), qui, elles, figurent au Livre II « des crimes et délits contre les personnes » et sanctionnent les traitements illicites de données personnelles. Cette summa divisio — la grande division entre atteintes aux biens et atteintes aux personnes — commande toute la lecture des textes, comme on le verra plus loin.
La loi Godfrain protège tout système de traitement automatisé de données (STAD) : serveurs, ordinateurs, réseaux, applications, objets connectés, systèmes industriels. La jurisprudence retient une définition large : est un STAD tout ensemble composé d’unités de traitement, de mémoires, de logiciels et d’organes de liaison concourant à un résultat déterminé.
Les infractions d’atteinte aux STAD (articles 323-1 à 323-7)
Le dispositif distingue plusieurs comportements, chacun assorti de peines aggravées lorsque la victime est un système de l’État. Voici la synthèse à jour du Code pénal.
| Article | Comportement incriminé | Peine (droit commun) | Peine (STAD de l’État) |
|---|---|---|---|
| 323-1 al. 1 | Accès ou maintien frauduleux dans un STAD | 3 ans / 100 000 € | 7 ans / 300 000 € |
| 323-1 al. 2 | Accès ou maintien ayant entraîné suppression/modification de données ou altération du système | 5 ans / 150 000 € | 7 ans / 300 000 € |
| 323-2 | Entrave ou faussement du fonctionnement d’un STAD | 5 ans / 150 000 € | 7 ans / 300 000 € |
| 323-3 | Introduction, extraction, détention, reproduction, transmission, suppression ou modification frauduleuse de données | 5 ans / 150 000 € | 7 ans / 300 000 € |
| 323-3-1 | Import, détention, offre ou mise à disposition d’outils conçus pour commettre ces infractions | Peine de l’infraction visée | — |
| 323-4-1 | Infractions en bande organisée contre un STAD de l’État | — | 10 ans / 300 000 € |
| 323-7 | Tentative | Mêmes peines que l’infraction consommée | — |
Montants à jour des réformes successives, notamment la loi pour une République numérique du 7 octobre 2016 ; à vérifier au regard de l’état en vigueur du Code pénal sur Légifrance avant tout usage.
Accès et maintien frauduleux (article 323-1)
C’est l’infraction reine. Deux comportements distincts :
- l’accès frauduleux : pénétrer dans un système sans y être autorisé (intrusion, contournement d’authentification, exploitation d’une faille) ;
- le maintien frauduleux : rester dans un système alors qu’on sait ne plus — ou ne pas — y être autorisé, même si l’entrée initiale était licite ou fortuite.
Le maintien frauduleux vise typiquement l’ancien salarié qui continue d’utiliser ses accès, ou l’internaute qui, tombant par hasard sur une ressource accessible, y demeure en conscience de son caractère non public. La peine de base est de 3 ans d’emprisonnement et 100 000 € d’amende, portée à 5 ans et 150 000 € si l’intrusion a causé une altération des données ou du fonctionnement.
Entrave au fonctionnement (article 323-2)
L’article 323-2 sanctionne le fait d’entraver ou de fausser le fonctionnement d’un STAD : attaques par déni de service (DDoS), sabotage, introduction de code destiné à paralyser un système. La peine est de 5 ans et 150 000 €. C’est le fondement le plus souvent retenu contre les attaques de saturation.
Atteinte aux données (article 323-3) : la fin du vide sur le « vol de données »
L’article 323-3 a longtemps sanctionné la seule introduction, modification ou suppression frauduleuse de données. Il laissait un angle mort : la simple copie de données, sans les supprimer ni les altérer, échappait à la qualification — le « vol de données » se heurtait à l’exigence de soustraction propre au vol classique.
Une réforme de 2014 a comblé ce vide en ajoutant les verbes extraire, détenir, reproduire, transmettre. Copier une base clients, exfiltrer un fichier, détenir des données volées : autant de comportements désormais incriminés de façon autonome, punis de 5 ans et 150 000 €. C’est aujourd’hui le fondement central des affaires d’exfiltration de bases de données, qui constituent aussi, on y reviendra, des violations de données au sens du RGPD.
Les outils d’attaque (article 323-3-1)
L’article 323-3-1 sanctionne l’import, la détention, l’offre ou la mise à disposition d’outils (logiciels, scripts, données) conçus pour commettre les infractions précédentes. Point essentiel pour la communauté cyber : le texte réserve le motif légitime, « notamment de recherche ou de sécurité informatique ». Cette réserve, introduite pour protéger les chercheurs et les professionnels du pentest, distingue la détention d’un outil offensif à des fins de sécurité de sa détention à des fins de fraude.
Bande organisée et tentative (articles 323-4-1 et 323-7)
Les infractions commises en bande organisée contre un système de l’État sont punies de 10 ans et 300 000 € (article 323-4-1). Et la tentative est punie des mêmes peines que l’infraction consommée (article 323-7) : lancer une attaque qui échoue expose aux mêmes sanctions que l’attaque réussie.
L’élément décisif : le caractère « frauduleux »
Toutes ces infractions supposent un élément intentionnel : l’accès, le maintien ou l’atteinte doit être frauduleux, c’est-à-dire accompli en conscience de son irrégularité. C’est là que se joue la frontière entre le curieux et le délinquant.
La jurisprudence a précisé ce point dans l’affaire dite Bluetouff (Cour de cassation, chambre criminelle, arrêt du 20 mai 2015). Un internaute avait accédé, via un moteur de recherche, à des documents d’un extranet d’une agence publique rendus accessibles à la suite d’une défaillance technique, puis les avait téléchargés. La Cour de cassation a confirmé la condamnation pour maintien frauduleux et pour extraction/reproduction de données : dès lors que l’intéressé avait conscience de se trouver dans un espace non public — les documents portaient des mentions de confidentialité — et qu’il y avait demeuré et copié des fichiers, l’élément frauduleux était caractérisé, peu important que l’accès initial ait résulté d’une faille de sécurité de la victime.
La leçon pratique est double. Pour l’internaute : le fait qu’une ressource soit techniquement accessible ne la rend pas licite d’accès si l’on sait qu’elle n’est pas destinée au public. Pour l’organisation : la négligence de sécurité de la victime n’exonère pas l’auteur, mais elle peut, en sens inverse, engager la responsabilité de la victime au titre de son obligation de sécurité RGPD (voir plus loin).
La particularité des systèmes de l’État : un débat toujours d’actualité
Le Code pénal aggrave systématiquement les peines lorsque l’atteinte vise « un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État ». Cette formule mérite qu’on s’y arrête, car elle recèle une singularité que j’avais relevée dès 2012 et qui, curieusement, n’a jamais été corrigée.
En exigeant que le système de l’État traite des données à caractère personnel pour ouvrir la circonstance aggravante, le législateur a introduit une limitation a contrario : les systèmes de l’État qui ne traitent pas de données personnelles — un système de supervision industrielle, un dispositif de calcul scientifique, un réseau technique — ne bénéficient pas de cette protection renforcée. L’incohérence est double :
- si l’objectif est de protéger les biens informatiques de l’État (ce que suggère le rattachement au Livre III), rien ne justifie de conditionner l’aggravation au fait que le système traite des données personnelles ;
- si l’objectif est de protéger les données personnelles, ces dispositions auraient dû figurer aux articles 226-16 et suivants, dans le Livre II consacré aux atteintes aux personnes.
On aurait pu penser que cette scorie de rédaction serait supprimée à la première occasion. Il n’en a rien été : la loi pour une République numérique du 7 octobre 2016, qui a pourtant réécrit l’article 323-1, a conservé le critère des « données à caractère personnel » dans l’alinéa relatif aux systèmes de l’État. Le mélange des genres entre protection des biens et protection des personnes persiste donc dans le Code pénal de 2026. C’est un exemple utile pour qui veut comprendre que la cohérence des catégories juridiques cède parfois devant la sédimentation des réformes.
Loi Godfrain et RGPD : la double lecture d’une cyberattaque
En 2026, une intrusion dans un système d’entreprise n’a plus une seule lecture pénale : elle en a deux, qui coexistent.
- La lecture Godfrain (auteur de l’attaque). L’attaquant qui accède, se maintient, entrave ou exfiltre des données commet un ou plusieurs délits des articles 323-1 à 323-3. La victime peut déposer plainte et se constituer partie civile.
- La lecture RGPD (victime de l’attaque). Si le système contenait des données personnelles, l’intrusion constitue une violation de données au sens du RGPD. Elle déclenche potentiellement, pour l’organisme victime, l’obligation de notifier la CNIL dans les 72 heures au titre de l’article 33 du RGPD, et de communiquer aux personnes concernées en cas de risque élevé. Voir le modèle de notification de violation à la CNIL.
Ces deux logiques ne se confondent pas : être victime au pénal n’exonère pas des obligations RGPD. Pire, l’organisme victime peut lui-même être sanctionné par la CNIL si l’attaque a été rendue possible par un défaut de sécurité (obligation de sécurité de l’article 32 du RGPD). La conscience de cette double exposition change la façon de gérer une crise : il faut simultanément préserver la preuve pénale (pour la plainte) et documenter la réponse (pour la CNIL). Lorsque les données touchées sont des données sensibles, l’enjeu est encore plus élevé.
Que faire si vous êtes victime d’une atteinte à votre STAD
La séquence de réaction, du point de vue de l’organisation victime :
- Confiner et préserver la preuve. Isoler les systèmes touchés sans détruire les traces (journaux, images disque). Ces éléments serviront à la fois à la plainte pénale et à la démonstration de diligence auprès de la CNIL.
- Qualifier l’incident. Déterminer s’il s’agit d’un accès, d’un maintien, d’une entrave ou d’une exfiltration, et si des données personnelles sont concernées.
- Déposer plainte. La plainte peut viser les articles 323-1 et suivants. Le dépôt est utile même sans auteur identifié : il ouvre l’enquête et documente la position de victime.
- Notifier la CNIL dans les 72 heures si une violation de données personnelles présente un risque, en application de l’article 33 du RGPD.
- Informer, le cas échéant, les autorités techniques. Selon la nature de l’organisation et de l’incident, d’autres obligations de signalement peuvent s’ajouter (opérateurs essentiels, secteur régulé).
- Documenter la réponse au registre des violations et engager les mesures correctives.
Prévention : sécuriser et cadrer les accès
La meilleure protection reste organisationnelle autant que technique. Deux leviers de fond.
La charte informatique. Elle définit ce qui est autorisé et ce qui ne l’est pas sur le système d’information. Son intérêt pénal est direct : en établissant clairement le périmètre des accès autorisés, elle facilite la caractérisation du maintien frauduleux d’un utilisateur qui outrepasse ses droits. Elle est indispensable pour encadrer les usages, y compris en situation de télétravail, où la frontière entre équipements personnels et professionnels brouille les autorisations d’accès.
La revue des habilitations. La plupart des atteintes internes exploitent des droits résiduels : comptes d’anciens salariés, accès surdimensionnés, absence de journalisation. Un audit RGPD et de sécurité permet d’identifier ces angles morts. La tenue rigoureuse des mesures de sécurité relève de l’obligation du responsable de traitement, dont le manquement expose aux sanctions RGPD.
Sur le versant conformité, la traçabilité des incidents et la documentation des mesures de sécurité sont chronophages à maintenir : un logiciel RGPD permet d’industrialiser le registre des violations et le suivi des mesures techniques et organisationnelles, ce qui facilite la démonstration de diligence si un incident survient.
Une question de proportionnalité ?
Reste une interrogation de fond, que je posais déjà en 2012 et qui garde sa pertinence. Sept ans d’emprisonnement pour une atteinte à un système de l’État, dix ans en bande organisée : ces quanta placent la cyberintrusion au niveau de délits et de crimes portant atteinte à l’intégrité physique des personnes. On peut comprendre que l’État entende protéger fermement ses systèmes ; on peut aussi s’interroger sur la cohérence d’une échelle des peines qui traite une intrusion informatique — fût-elle grave — avec la même sévérité que des atteintes aux personnes. Le débat n’est pas tranché, et l’inflation pénale continue de porter, réforme après réforme, sur ces textes que les praticiens jugeaient pourtant déjà pleinement opérationnels.
FAQ
Quelle est la différence entre la loi Godfrain et le RGPD ?
La loi Godfrain (articles 323-1 et suivants du Code pénal) protège les systèmes d’information contre les intrusions et les atteintes : elle punit l’attaquant. Le RGPD protège les données personnelles des individus : il impose des obligations à l’organisme qui traite ces données, dont la sécurisation et la notification des violations. Une même cyberattaque peut relever des deux : Godfrain contre l’auteur, RGPD comme obligation pour la victime.
Accéder à un site mal sécurisé est-il puni par la loi Godfrain ?
Cela dépend de l’intention. L’accès n’est punissable que s’il est frauduleux, c’est-à-dire accompli en conscience de son caractère non autorisé. La jurisprudence Bluetouff (Cass. crim., 20 mai 2015) a jugé que le fait d’accéder à des ressources rendues accessibles par une faille, mais manifestement non destinées au public, puis de s’y maintenir et d’en extraire des données, caractérise le maintien frauduleux — la négligence de la victime n’efface pas l’intention de l’auteur.
Copier une base de données sans la supprimer est-il une infraction ?
Oui, depuis la réforme de 2014. L’article 323-3 du Code pénal incrimine désormais expressément le fait d’extraire, détenir, reproduire ou transmettre frauduleusement des données, ce qui a mis fin au vide juridique sur le « vol de données » par simple copie. La peine est de 5 ans d’emprisonnement et 150 000 € d’amende.
Quelles peines encourt l’auteur d’une cyberattaque en 2026 ?
Le socle est de 3 ans et 100 000 € pour l’accès ou le maintien frauduleux, porté à 5 ans et 150 000 € en cas d’atteinte aux données ou au fonctionnement du système, et à 7 ans et 300 000 € contre un système de l’État. Les atteintes en bande organisée contre un système de l’État montent à 10 ans et 300 000 €. La tentative est punie des mêmes peines que l’infraction consommée.
Un chercheur en sécurité peut-il détenir des outils d’attaque ?
L’article 323-3-1 réserve le motif légitime, « notamment de recherche ou de sécurité informatique ». La détention d’outils offensifs (scanners, exploits) à des fins de test d’intrusion ou de recherche encadrée n’est donc pas punissable, à la différence de leur détention à des fins de fraude. La difficulté est probatoire : documenter le cadre légitime (mandat, autorisation du client, politique de divulgation responsable) est essentiel.
Faut-il déposer plainte et notifier la CNIL en même temps ?
Oui, ce sont deux démarches distinctes et complémentaires. La plainte pénale vise l’auteur au titre de la loi Godfrain ; la notification à la CNIL (article 33 du RGPD) est une obligation propre à la victime lorsque des données personnelles ont été compromises, à effectuer dans les 72 heures. Gérer les deux en parallèle suppose de préserver la preuve technique dès la détection de l’incident.
Vous voulez suivre l’évolution du droit pénal du numérique et des obligations de sécurité ? Inscrivez-vous à ma newsletter : chaque semaine, j’analyse les décisions et les réformes qui touchent la sécurité des systèmes d’information et la conformité RGPD. C’est la veille que je menais pour mes clients pendant 20 ans, désormais ouverte à tous.