Un article anonyme de Substack publié cette semaine accuse la startup de conformité Delve d’avoir « faussement » convaincu « des centaines de clients qu’ils se conformaient » aux réglementations en matière de confidentialité et de sécurité, exposant potentiellement ces clients à « une responsabilité pénale en vertu de la HIPAA et de lourdes amendes en vertu du RGPD ».
Delve est une startup soutenue par Y Combinator qui a annoncé l’année dernière une levée de fonds de série A de 32 millions de dollars pour une valorisation de 300 millions de dollars. (Le cycle a été mené par Insight Partners.) Vendredi, la startup a tenté de réfuter les accusations sur son blog, qualifiant le message de Substack de « trompeur » et affirmant qu’il « contient un certain nombre d’affirmations inexactes ».
Le message Substack est attribué à « DeepDelver », qui s’est décrit comme travaillant chez un (maintenant ancien) client Delve.
DeepDelver a raconté avoir reçu un e-mail en décembre affirmant que la startup avait « divulgué une feuille de calcul contenant des rapports clients confidentiels ». Alors que le PDG de Delve, Karun Kaushik, a apparemment assuré aux clients dans un e-mail ultérieur qu’ils étaient en conformité et qu’aucune partie externe n’avait accès aux données sensibles, DeepDelver a déclaré qu’eux-mêmes et d’autres clients étaient devenus méfiants.
« Ayant partagé l’expérience d’être déçus par l’expérience Delve et ayant le sentiment général que quelque chose de louche se passait, nous avons décidé de mettre en commun nos ressources et d’enquêter ensemble », ont-ils écrit.
Leur conclusion ? Que Delve « atteint sa prétention d’être la plate-forme la plus rapide en produisant de fausses preuves, en générant des conclusions d’audit au nom des usines de certification qui approuvent les rapports et en ignorant les principales exigences du cadre tout en disant aux clients qu’ils ont atteint une conformité à 100 % ».
DeepDelver a fourni des détails considérables sur ces affirmations, accusant la startup de fournir aux clients « des preuves fabriquées de réunions du conseil d’administration, de tests et de processus qui n’ont jamais eu lieu », forçant ensuite ces clients à « choisir entre adopter de fausses preuves ou effectuer un travail principalement manuel avec peu de véritable automatisation ou IA ».
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
DeepDelver a également affirmé que pratiquement tous les clients de Delve semblent avoir fait appel à deux cabinets d’audit, Accorp et Gradient, qu’ils ont décrits comme « faisant partie de la même opération », un cabinet qui opère principalement en Inde, avec seulement une présence nominale aux États-Unis.
Ces entreprises, disent-ils, ne font qu’approuver les rapports générés par Delve. En conséquence, DeepDelver a déclaré que la startup « inverse » la structure de conformité normale : « En générant des conclusions d’audit, des procédures de test et des rapports finaux avant tout examen indépendant, Delve se place à la fois dans le rôle d’exécutant et d’examinateur. Ce n’est pas une technicité. C’est une fraude structurelle qui invalide l’intégralité de l’attestation. »
En plus d’accuser Delve d’avoir induit ses clients en erreur, DeepDelver a déclaré que la startup aide ces clients à « induire le public en erreur en hébergeant des pages de confiance contenant des mesures de sécurité qui n’ont jamais été mises en œuvre ».
Quant à sa propre relation avec Delve, DeepDelver a déclaré que sa société n’avait pas publié sa page de confiance et n’était plus liée à la startup pour des raisons de conformité.
Delve a répondu aux accusations en affirmant qu’elle ne publiait pas du tout de rapports de conformité. Il s’agit plutôt d’une « plateforme d’automatisation » qui ingère des informations sur la conformité, puis permet aux auditeurs d’accéder à ces informations.
« Les rapports et opinions finaux sont émis uniquement par des auditeurs indépendants et agréés, et non par Delve », a déclaré la société.
Delve a également déclaré que ses clients « peuvent choisir de travailler avec un auditeur de leur choix ou de travailler avec un auditeur du réseau Delve de cabinets d’audit tiers indépendants et accrédités ». Ces entreprises, a déclaré la startup, sont « des entreprises établies largement utilisées dans l’ensemble du secteur, y compris par d’autres plateformes de conformité ».
En réponse à l’accusation selon laquelle il fournit à ses clients de « fausses preuves », Delve a rétorqué qu’il propose simplement « des modèles pour aider les équipes à documenter leurs processus conformément aux exigences de conformité, comme le font d’autres plateformes de conformité ».
« Les projets de modèles ne sont pas la même chose que des « preuves pré-remplies », a déclaré la société.
Delve a ajouté qu’il « enquêtait activement sur toute fuite » et qu’il « examinait toujours la sous-pile ».
TechCrunch envoie un e-mail sollicitant des commentaires supplémentaires à l’adresse de contact des médias indiquée sur le site Web de Delve ; l’e-mail a rebondi. Nous avons également contacté DeepDelver pour obtenir des commentaires supplémentaires.
