32 millions de dollars levés, une valorisation à 300 millions, deux fondateurs de 21 ans passés par le MIT. Delve avait tout du prodige de la Silicon Valley. Sauf que la plateforme qui promettait la conformité RGPD et HIPAA « par l’IA » aurait, selon une enquête collaborative publiée cette semaine, fabriqué des preuves de toutes pièces pour des centaines d’entreprises.
De Y Combinator aux panneaux publicitaires de San Francisco
L’histoire commence en 2025, quand Delve boucle un tour de table mené par le fonds Insight Partners. La promesse est séduisante : automatiser les audits de conformité réglementaire, ces procédures interminables que toute entreprise manipulant des données sensibles doit traverser pour décrocher des certifications comme SOC 2, respecter la norme américaine HIPAA (protection des données de santé) ou se conformer au RGPD européen. Des démarches qui mobilisent habituellement des consultants spécialisés pendant des mois et coûtent une fortune.
Delve affirmait régler tout ça en quelques semaines grâce à l’intelligence artificielle. L’argument a séduit des centaines de clients, du logiciel d’IA Lovable à la société cotée au NASDAQ Duos Edge, en passant par Bland (téléphonie automatisée) et Cluely. À l’automne 2025, ses fondateurs ont tapissé San Francisco, New York et Austin de campagnes publicitaires géantes. Le message était limpide : la conformité n’a jamais été aussi simple.
Un tableur public déclenche la tempête
En décembre 2025, plusieurs clients reçoivent un email anonyme les informant qu’un tableur Google contenant leurs rapports d’audit confidentiels était accessible librement sur internet. L’email affirme aussi que ces rapports seraient frauduleux. La direction de Delve, par la voix de son PDG Karun Kaushik, assure aussitôt que tout est en ordre et qu’aucun tiers n’a accédé aux données sensibles.
Certains clients ne se laissent pas convaincre. Plusieurs anciens utilisateurs de la plateforme mettent leurs ressources en commun pour mener leur propre enquête. Leur rapport, publié le 19 mars sous le pseudonyme DeepDelver sur la plateforme Substack, tombe comme un pavé dans la mare et cumule rapidement plusieurs milliers de lectures.
Leur verdict, repris deux jours plus tard par TechCrunch : Delve « atteint sa promesse d’être la plateforme la plus rapide en produisant de fausses preuves, en générant des conclusions d’auditeurs pour le compte de cabinets qui tamponnent les rapports sans vérifier, et en sautant des exigences majeures des référentiels tout en affirmant à ses clients qu’ils sont conformes à 100 % ».
Des réunions fantômes et des audits écrits d’avance
L’investigation détaille un mécanisme en plusieurs couches. La plateforme fournirait d’abord à ses clients des « preuves » pré-remplies : comptes-rendus de comités de sécurité, résultats de tests de pénétration, procédures de gestion des incidents. Selon DeepDelver, ces réunions et ces tests n’auraient jamais eu lieu. Les documents seraient des modèles génériques, identiques d’un client à l’autre, que les entreprises n’avaient qu’à signer pour obtenir leur badge « conforme ».
Vient ensuite la question des auditeurs, censés vérifier le travail de manière indépendante. L’enquête pointe deux cabinets, Accorp et Gradient, décrits comme faisant partie d’une même structure opérant principalement depuis l’Inde, avec une simple boîte postale aux États-Unis en guise de siège social. Ces cabinets auraient apposé leur signature sur des rapports rédigés en grande partie par Delve elle-même.
Le principe fondamental de tout audit repose sur la séparation stricte entre celui qui met en place les mesures de sécurité et celui qui les vérifie. En cumulant les deux rôles, selon l’enquête, Delve aurait vidé le processus de sa substance. « Ce n’est pas un détail technique, écrit DeepDelver. C’est une fraude structurelle qui invalide l’intégralité de l’attestation. »
Le vendeur de coffres-forts laisse sa porte ouverte
Les accusations ne s’arrêtent pas là. Un chercheur en sécurité, James Zhou, a déclaré sur le réseau social X avoir pu accéder à des informations hautement sensibles de Delve elle-même : vérifications d’antécédents d’employés, calendriers d’acquisition d’actions. Jamieson O’Reilly, fondateur de la société de cybersécurité Dvuln, a corroboré ces découvertes en décrivant « plusieurs failles béantes dans la surface d’attaque externe de Delve ».
Pour une entreprise qui vend des certifications de sécurité informatique à des centaines d’autres, le constat est accablant.
Delve conteste, mais peine à rassurer
La startup a réagi en qualifiant l’article de Substack de « trompeur » et contenant « un certain nombre d’affirmations inexactes ». Delve affirme ne pas émettre elle-même de rapports de conformité et se présente comme une « plateforme d’automatisation » qui fournit aux auditeurs les informations nécessaires. « Les rapports finaux et les opinions sont émis uniquement par des auditeurs indépendants et accrédités, pas par Delve », insiste la direction.
Quant aux preuves pré-remplies, la startup rétorque qu’il s’agit de « modèles pour aider les équipes à documenter leurs processus », une pratique selon elle courante dans le secteur. « Des modèles provisoires ne sont pas des preuves pré-remplies », martèle Delve.
Mais un détail rapporté par TechCrunch illustre le décalage entre l’image et la réalité : quand le média a envoyé un email à l’adresse de contact presse de l’entreprise, le message a rebondi. En retour, le journaliste a reçu une invitation pour une « démo Delve ».
Des centaines d’entreprises face au risque juridique
Si les conclusions de l’enquête se confirment, les conséquences dépassent largement le cas Delve. Les entreprises clientes qui affichaient leurs certifications SOC 2 ou HIPAA sur leurs sites pourraient se retrouver en infraction : jusqu’à 4 % du chiffre d’affaires mondial pour une non-conformité RGPD, et des poursuites pénales potentielles au titre de la loi HIPAA aux États-Unis. L’employeur de DeepDelver aurait déjà retiré sa page de certifications et rompu avec Delve.
L’affaire révèle une faille systémique dans l’écosystème startup : dans la course aux levées de fonds et à la croissance, la conformité réglementaire peut se réduire à un simple badge marketing. Investisseurs, partenaires et clients examinent rarement ce qui se cache derrière un logo SOC 2 affiché en page d’accueil. Delve déclare « enquêter activement » sur les fuites et être « encore en train d’examiner » le contenu du rapport. Le régulateur américain, pour l’heure, n’a pas communiqué sur d’éventuelles investigations.
