Une publication anonyme sur Substack publiée cette semaine accuse la startup de conformité Delve, soutenue par Y Combinator, d’avoir « faussement » convaincu « des centaines de clients qu’ils étaient conformes » aux réglementations en matière de confidentialité et de sécurité. Selon cette dénonciation, ces pratiques pourraient exposer ces clients à des « responsabilités pénales en vertu de la HIPAA » ainsi qu’à de lourdes amendes sous le GDPR. La société, qui a levé 32 millions de dollars lors d’un tour de série A l’année dernière à une valorisation de 300 millions de dollars, a tenté de répondre à ces accusations en les qualifiant de « mensongères » et d’« affirmations inexactes » sur son blog officiel.
Ce billet de substack, attribué à un certain « DeepDelver », décrit une expérience de plusieurs clients de Delve qui ont, selon eux, découvert que l’entreprise produisait de faux éléments de preuve pour justifier la conformité. DeepDelver, se présentant comme un ancien collaborateur d’un client de Delve, a expliqué que lui et d’autres avaient commencé à se méfier après un incident où un e-mail de la startup laissait entendre qu’un fichier contenant des rapports confidentiels clients avait été divulgué. Bien que Delve ait ensuite rassuré ses clients par email, la suspicion persistait et une investigation commune a révélé ce qu’ils décrivaient comme une fraude systémique.
« La startup construit une illusion de conformité grâce à de faux rapports, donnant l’impression que l’audit a été réalisé alors qu’il ne s’agit que d’un stratagème sophistiqué, ce qui constitue une fraude structurelle ».
Selon DeepDelver, Delve aurait alimenté ses clients avec « des preuves fabriquées de réunions de conseil, de tests et de processus qui n’ont jamais eu lieu », forçant ces derniers à choisir entre utiliser ces faux éléments ou effectuer un travail manuel sans véritable automatisation ou intelligence artificielle. La dénonciation accuse également l’entreprise d’avoir collaboré avec deux cabinets d’audit, Accorp et Gradient, qui auraient simplement validé ces rapports fabriqués, opérant, selon eux, comme une seule et même entité en Inde, sans réelle vérification indépendante.
En réponse, Delve a nié être responsable de la production de rapports de conformité, insistant sur le fait qu’elle offrait une plateforme d’automatisation qui rassemble des données pour les auditeurs, lesquels émettent les rapports finaux. La société a affirmé que ses clients pouvaient choisir leurs propres auditeurs ou travailler avec ceux de son réseau, constitué de firmes indépendantes et certifiées. Elle a également insisté que ses outils ne fournissaient que des « modèles » pour documenter les processus, et non des preuves pré-remplies, réfutant donc l’accusation de fabrication de fausses preuves.
Malgré ces déclarations, DeepDelver reste sceptique et annonce la publication imminente d’un second volet de ses révélations. Par ailleurs, des dangers potentiels pour la sécurité ont été évoqués, notamment par un utilisateur de X, James Zhou, qui a réussi à accéder à des informations sensibles chez Delve, telles que des vérifications d’antécédents employés ou des plannings d’attribution d’actions. Jamieson O’Reilly, fondateur de Dvuln, a confirmé avoir discuté avec Zhou de plusieurs vulnérabilités majeures du système de Delve.
Alors que la société refuse pour l’instant de fournir d’autres commentaires, un e-mail laissé en réponse à TechCrunch a été renvoyé, mais une invitation à une démonstration de Delve a été reçue peu après la publication de cet article. La controverse soulève donc des questions cruciales sur l’intégrité des processus de conformité supportés par des startups innovantes, en particulier celles qui évoluent rapidement dans un secteur où la confiance est essentielle.
