Dans le petit monde feutré de la compliance, où l'on vend de la tranquillité d'esprit à prix d'or, une startup vient de se faire épingler. Pas par un régulateur — trop lents, trop débordés — mais par un lanceur d'alerte anonyme sur Substack. Delve, jeune pousse prometteuse qui promettait de naviguer pour vous les méandres du RGPD et autres joyeusetés, est accusée d'avoir tout simplement… inventé la conformité de ses clients.
La compliance fantôme
Le post, intitulé sans ambages « The Delve Deception », détaille une mécanique bien huilée : des audits bidons, des rapports de conformité générés automatiquement sans vérification sur le terrain, et des centaines de clients — des PME pour la plupart — bernés en leur faisant croire qu'ils étaient dans les clous. Des centaines de clients auraient ainsi signé des chèques pour un certificat aussi solide qu'un nuage. La startup, qui a levé 15 millions de dollars en série A l'an dernier sur la promesse d'une « compliance automatisée et infaillible », aurait en réalité automatisé surtout la facturation.
Le business model : vendez la peur, facturez l'ignorance
Le secteur de la compliance est un marché de la peur. Delve l'a compris et l'a exploité avec un cynisme remarquable. Leur argumentaire ? « Laissez-nous gérer ces régulations complexes, vous n'y comprendrez rien. » Ils avaient raison sur un point : leurs clients n'ont effectivement rien compris. Jusqu'à ce qu'un de leurs ex-employés, visiblement rongé par les remords (ou par un package d'actions qui a pris l'eau), décide de tout balancer. L'argent des levées de fonds, selon le post, n'a pas servi à renforcer une équipe juridique ou technique, mais à financer une machine marketing agressive et à ouvrir des bureaux design dans des capitales européennes. 15 millions de dollars pour du storytelling, pas pour de la substance.
Silence radio et déni prévisible
Contactée par plusieurs médias, la direction de Delve s'est réfugiée dans le classique « nous ne commentons pas les allégations infondées de sources anonymes ». Leur site web, lui, continue de vanter leurs « solutions certifiées » et leurs « partenariats avec des autorités ». Aucun de ces partenariats n'est nommé, bien sûr. Dans l'industrie, les chuchotements vont bon train : tout le monde « savait » que le modèle de Delve était trop beau pour être vrai, mais personne n'a rien dit. Trop occupés à lever leur propre tour de Babel réglementaire.
La vraie faille de sécurité
La leçon ici n'est pas qu'une startup a menti. C'est que tout l'écosystème — investisseurs avides de rendements faramineux dans un secteur « chaud », clients trop pressés ou trop naïfs pour faire leurs devoirs, médias tech qui relaient les communiqués sans creuser — est complice. On vend de la compliance comme on vendait de la dot-com en 1999. La seule vraie faille de sécurité identifiée ici est l'absence totale de scepticisme critique. Delve n'a pas hacké un système ; elle a exploité la crédulité générale. Et ça, c'est bien plus difficile à patch.